利用AJAX隱藏網(wǎng)站程序結(jié)構(gòu)

AJAX即“Asynchronous Javascript And XML”（異 步JavaScript和XML），是一種創(chuàng)建交互式網(wǎng)頁應(yīng)用的網(wǎng)頁開發(fā)技術(shù)。

AJAX技術(shù)可以在不重新加載整個網(wǎng)頁的情況下，對網(wǎng)頁的某部分進(jìn)行更新。不使用 AJAX的傳統(tǒng)網(wǎng)頁，如果需要更新內(nèi)容，必須重載整個網(wǎng)頁頁面。

AJAX的特點(diǎn)是頁面無刷新，用戶的體驗(yàn)非常好；使用異步方式與服務(wù)器通信，具有更加迅速的響應(yīng)能力；AJAX的原則是“按需取數(shù)據(jù)”，可以最大程度的減少冗余請求，和響應(yīng)對服務(wù)器造成的負(fù)擔(dān)；基于標(biāo)準(zhǔn)化的并被廣泛支持的技術(shù)，不需要下載插件或者小程序；AJAX不支持瀏覽器back按鈕。

利用AJAX的特點(diǎn)，在編寫網(wǎng)站程序時，隱藏網(wǎng)站目錄結(jié)構(gòu)，可以在一定程度上提高網(wǎng)站的安全性，增加惡意攻擊的難度。

圖1 網(wǎng)站目錄結(jié)構(gòu)

下面就以ASP程序進(jìn)行說明，其他編程語言做法類似。

網(wǎng)站目錄結(jié)構(gòu)如圖1：

CSS目錄存放樣式文件，JS目錄存放JS腳本程序，真正實(shí)現(xiàn)網(wǎng)站邏輯的程序放在INC目錄。目錄名稱可以自由選擇，這里只是使用常規(guī)命名，網(wǎng)站根目錄下一個login.htm文件，網(wǎng)頁使用AJAX發(fā)送請求，使用靜態(tài)文件即可。

如果沒有JQUERY和AJAX功能，這個網(wǎng)頁就什么都沒有顯示。通過login.js中 的onload（）函 數(shù)請 求inc/login.asp文件，把返回的數(shù)據(jù)傳給divcontent.innerhtml屬性，從而顯示出用戶登錄界面。這時，如果通過右鍵查看源文件，只能看到Login.htm文件的內(nèi)容，而看不到輸入姓名、登錄密碼等文本框的內(nèi)容。

Inc/login.asp文件與普通網(wǎng)頁文件是一樣的，只不過缺少了HTML頭部內(nèi)容，使用常見的網(wǎng)頁編輯程序就可以完成編寫，然后去掉頭尾部分即可。

由于Inc/login.asp文件的”btn1”按鈕 onclick事件綁定btnclk()函數(shù)，點(diǎn)擊“登錄”按鈕時，訪問inc/chklogin.asp文件，進(jìn)行身份驗(yàn)證，如果通過身份驗(yàn)證，執(zhí)行 display(2)，訪問inc/ t_ tbStruc.asp文件，并將結(jié)果界面返回給divcontent.innerhtml屬性，從而引起界面發(fā)生改變，這時，如果通過右鍵查看源文件，同樣只能看到Login.htm文件的內(nèi)容，而看不到inc/ t_ tbStruc.asp文件的內(nèi)容。

無論訪問inc目錄下的什么文件，都是通過AJAX訪問，從而實(shí)現(xiàn)部分網(wǎng)頁更新，網(wǎng)頁的功能只與當(dāng)前的界面與JS腳本相關(guān)，網(wǎng)頁相當(dāng)于一臺狀態(tài)機(jī)。無論當(dāng)前網(wǎng)頁是什么狀態(tài)，按“F5”刷新頁面都會回到“l(fā)ogin.htm”界面。如果查看網(wǎng)頁源代碼則只能看到首頁的簡單代碼，從而達(dá)到了隱藏網(wǎng)站程序結(jié)構(gòu)的目的，提高了網(wǎng)站的安全性。

通過對display(page)函數(shù)switch分支來進(jìn)行擴(kuò)充，以適應(yīng)不同的網(wǎng)頁請求。由于AJAX使用的是UTF-8編碼，所以有必要將所有文件保存為UTF-8文件格式，HTML文件頭則指明了輸出編碼為UTF-8，以防出現(xiàn)亂碼。

整個網(wǎng)站程序開發(fā)測試完畢后，通過對JS腳進(jìn)行壓縮，去除空格和回車，然后再對外發(fā)布，增加腳本的閱讀難度，進(jìn)一步提高腳本代碼的安全性。這時，外部人員如果想了解網(wǎng)站的運(yùn)行邏輯及結(jié)構(gòu)，只能通過分析捕獲JS腳發(fā)送及返回的數(shù)據(jù)推測得到。