警告!Ajax技术的安全问题不容忽视

Adaptive Path公司是旧金山一家有用户体验的咨询公司。负责用户体验战略的主管Jesse James Garrett说:“某种程度上，Ajax应用把业务逻辑从服务器端搬到了客户端，于是业务逻辑就被暴露出来。根据应用的不同，这种做法增加了潜在的安全风险。”

　　Garrett说:“下一个问题是数据安全。Ajax应用能依靠Web底层的加密层来加密那些进行数据通信的XML文档。”

　　Garrett说:“此外，Ajax还有一个问题。我们做的就是降低服务器通讯中的用户交互。现在，服务器通讯对于用户已经完全不可见，因此，你可以在用户不差觉得情况下传送数据。这是一个很大的风险。”

　　Dion Almaer是Ajax社区Ajaxian.com的创始人之一，他认为Ajax中没有什么是不安全的，但还是有一些问题。

　　他说:“开发人员必须想清楚他们在做什么。你可以开发一个非常丰富的Ajax应用程序，这需要从浏览器向客户端传送数据。你需要让对服务器的访问变得安全，就和使用桌面技术时一样。举个例子，你不想让你的Ajax应用能发送任何SQL到后台的服务器并运行它。黑客能利用它并手动发送有害的请求。另外，不要对任何东西都进行eval()操作，还要对XSS探测保持警惕。”

　　Almaer说:“底线是让你的服务器端尽可能安全。这样对你才有好处。”

　　Garrett对此回应到:“开发和部署任何应用最重要的是优秀的规划。开发Ajax有一定的复杂性，这也让开发团队在做选择时要多考虑一些。”

查看本文来源