AJAX技术可能会扩大安全方面的威胁
分析人士警告说,机构如果考虑使用异步 Java script和XML(AJAX)技术创建更多的动态网页,就需要确保这些网页不会在无意间将自己的 网络 大门向其他应用敞开,而如果不使用AJAX,这些应用可能是 安全 的。分析人士表示,虽然AJAX自己不会产生新的安全危险,
分析人士警告说,机构如果考虑使用异步
Javascript和XML(AJAX)技术创建更多的动态网页,就需要确保这些网页不会在无意间将自己的
网络大门向其他应用敞开,而如果不使用AJAX,这些应用可能是
安全的。分析人士表示,虽然AJAX自己不会产生新的安全危险,但它却极有可能扩大目前已经充分了解的几个安全威胁的严重性,这些威胁包括
SQL资料隐码(SQL injections)、跨站脚本(cross-site scripting)和服务拒绝攻击等。
目前就出现了一个与此相关的案例:本周的Yamanner邮件群发蠕虫。在此案例中,Yamanner蠕虫利用Yahoo公司电子邮件服务上的一个明显的跨站脚本错误,感染了数以千计的用户。蠕虫伴随一个标题为“新图形站点(New Graphic Site)”的邮件进入用户的Yahoo邮箱,当用户打开受感染的电子邮件时,这个蠕虫就被激活。
与使用HTML方式编写的网页相比,企业采用AJAX编程技术,可随时向网页增添一些新内容,而无需重新加载整个页面,这样就大大提高了企业网站对客户输入所作出的响应。这些使用Javascript和XML技术的网站,允许浏览器从网页服务器上读取少量的数据。
原文转自:http://www.ltesting.net