Ajax应用安全性问题

夜深了，码完这段就睡!

ajax是一个基于B/S结构的应用，B/S结构的应用总是面临着更多的安全性问题。除了传统的安全问题外，AJAX应用还面临如下安全性问题：

1，js 本身的安全性。

2，数据在网络上传输的安全。

3，客户端调用远程 服务的安全。

首先，js本身的安全性

　　目前 ，js的安全性正在逐步提高，例如对某些兼容性支持的放弃，受限功能，“同源”策略，安全区域及签名脚本。为了提高JS的安全性，浏览器限制了js有很多事不能做：不能访问客户端文件，不能查询客户端网络连接，不能执行操作系统命令或者程序。虽然有些时候缺少这些功能让程序开发非常困难，但提高了客户端的js的安全性。

　　此外，js还有许多受限功能，包括访问浏览器的历史记录，上载文件，提交，发送邮件，改变菜单栏等。

　　通常建议js只能读取和修改同源文档的属性，这种策略称为同源策略（Same Origin Policy，简称SOP)。它也涵盖端口和协议，因此如果一个js脚本的源端口是80并且是协议是http,那么就不能操作源端口是21及FTP协议的文档。通过这种限制，可以避免信息泄露。假如有某个不怀好意的hacker，他可以通过运行恶意脚本来查看其他浏览器窗口中的有用信息，然后使用Xmlhttprequest请求或者其他方法将这些信息发送到自己的web站点。（信用卡密码），那将是相当危险的事情。因此应该尽量限制使用js脚本访问其它文档的数据 ，这也是被大多数浏览器禁止的。

　　同源策略不仅应用于文档，同时应用于浏览器的Cookie集。可以防止hacker复制购物车的Cookie，从而使网上商店认为他就是购物者本人。

　　 大多数的策略都有例外，同源策略也是如此。同源策略对于拥有UniversalBrowerRead权限的脚本不起作用。拥有UniversalBrowserRead权限的脚本可以读取非同源的文档，拥有UniversalBrowserWrite权限可以修改非同源脚本。使用这两个权限或者使用UniversalBrowserAcceess权限就可以获得读写非同源文档的能力。

 

先睡先睡，明天修改