安全牛课堂:AJAX基础及其安全开发
作者: 日期:2016年09月12日 阅:2,192

AJAX(Asynchronous JavaScript and XML)是一个概念,而非一种新的编程语言,是一组现有技术的组合。通过客户端脚本动态更新页面部分内容,而非真个页面,降低带宽使用,提高速度,提升用户体验,后台异步访问。

12

DHTML是动态网页技术,它引入了客户端代码,但是它运行在本地的脚本代码来修改本地页面内容,而服务器端有什么更新不会在本地更新。后发展到AJAX的概念,让你本地的页面,通过AJAX把几种技术,把网页内容和服务器短时间的差更新到本地。

AJAX组件

javaScript:ajax的核心组件,使用XMLHTTPRequest对象接口向服务器发起请求,接受并处理服务器响应数据

Dynamic HTML(DHTML)

早于AJAX出现,通过javascript、css等在客户端修改HTML页面element,缺点是完全依赖客户端代码修改网页,与服务器的交互由javascript applets完成,AJAX的XHR弥补了它的缺点(注册用户)

Document Object Model(DOM)

处理html,xml文档对象的框架,DHTML是一个浏览器,DOM作为其一个实现的接口,定义和管理每个页面元素obj的Properties、method、event

AJAX的安全问题

由于AJAX本身为多种技术混合而成的特性,使其每个参数都可能形成独立的攻击过程,从而扩大了整个的攻击面。

AJAX引擎是个全功能的脚本解释器,访问恶意站点可能会造成严重后果。虽然浏览器有沙箱和so,但可以绕过。同时,服务器、客户端代码的结合使用,可能会产生混乱,例如服务器访问控制的不当,会造成信息泄漏,并暴漏应用程序逻辑。

课程链接:

http://edu.aqniu.com/course/735

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章