OpenAjax联盟主席:谈Ajax的安全问题

有时候包装的力量不容忽视，拿麦当劳的各种套餐举个例子吧，你买到手的可能就是一个肉饼，一袋薯条和一杯饮料。但是加上可爱的包装，再加一个不值钱的塑料玩具，就变得截然不同了。其实在应用程序开发领域，很多相同道理的事情也在不断发生。一些开发技术例如JavaScript、XML和一些比较老的表现技术（诸如HTML和CSS）被打上“AJAX”的品牌，就引来人们的更多关注。

实际上没有根本性的变化发生，但是新的名字可以带来更多的注意力，其效果远远好于让开发者告诉大家：“使用JavaScript和XML技术你能够开发出很酷的基于浏览器的客户端。”

Ajax被认为是一种粘合技术，可以把很多具有很酷功能的新服务聚合在一起，例如Google地图和雅虎的Flickr。但是现在依然存在很多对该技术的困惑，例如怎么样才是使用Ajax技术开发新的应用的最好的办法，还有大型技术厂商，包括微软和Google，计划如何在它们的产品种支持Ajax。为了得到这些问题和其他的一些解答，某国外媒体在Ajax世界大会上专访了OpenAjax联盟的主席David Boloker，来听听他对这些问题的看法。

记者：请问Ajax最吸引人的魅力是什么？

Boloker： Ajax可以让你在一个Web浏览器中感受到相当好的用户交互体验，而这些以前只有在胖客户端应用程序中才能做到，现在Ajax可以实现，这就他的魅力。

记者：那么Ajax是如何实现这一点的呢？

Boloker：Ajax实际上是组成一个编程模型的系列标准，这些标准有DHML、JavaScript、XML，还有CSS层次样式，Web服务，还有其他适合Web开发的东西，它们每一个都是一个标准，一起使用它们就创建了一个工具集。现在在开源和非开源的服务中，大约有200多个不同的工具集，每一个工具集完成的事情都各不相同。

记者：关于Ajax的安全问题，你们采取了什么措施来保证其安全性？

Boloker：Ajax的安全问题实际上就是Web的安全问题。因此涉及的方面可能比较多，深入的分析OpenAjax，其存在的问题实际就是一个安全问题。这个话题不仅仅包含Web技术已经存在多年的跨站点脚本攻击问题，而是当你做内容聚合的时候的整个安全概念。

假若你是在你的公司内、或客户的商店内、或你信任的伙伴间、进行内容聚合的话，这种聚合是安全的。但是当你与不认识的其他的人进行不安全的内容聚合的时候，别人的JavaScript脚步就有可能试图控制你的机器，因此我们需要在我们内部或公司内做一些技术工作，甚至在W3C内采取一些工作来看一下，“如何才能控制某些人可以访问这些聚合内容而其他人不可以访问？”

记者：那么将通过什么措施来解决这个问题？

Boloke：我们现在正在处理这些问题，正在从多方面来了解它。

首先要了解的是，“我们是如何建立Ajax应用并如何调试它”。

第二方面，我们需要了解有可能导致安全问题的各种因素。

第三方面，需要写给Ajax程序员一个文档。

第四方面，就是你要寻找的技术：“我们如何来加强这项技术？”这个工作我们正在进行之中。

记者：现在微软已经承诺将加入OpenAjax吗？

Boloke:没有。他们现在正在考虑这件事。

记者：现在还有其他大型的公司参与这个项目吗？

Boloke：对，现在有很多人在与我们讨论，现在它的成员包括：Adobe公司、Backbase公司、BEA公司、DoJo基金会、Eclipse基金会、Google公司、IBM公司、Novell公司、甲骨文公司、SAP公司和红帽公司等，还有一些来自亚洲国家，他们也贡献了不小的力量。

编者点评：毫无疑问，AJAX或类似AJAX的技术无疑为web设计带来了新的生命力。开发者可以在web上创造出以前从所未有的真正的“应用程序”，但是我们也看到，使用AJAX技术必须非常注意安全问题，OpenAjax联盟正式运作才几个月，目前已经得到了众多IT技术公司的支持，我们也希望该联盟能在AJAX技术上的安全性方面能集众家所长，为AJAX技术的更强大做出更多的工作。

原文：http://www.linuxinsider.com/rsstory/54038.html

(责任编辑：铭铭 mingming_ky@126.com TEL：（010）68476636)