谈谈AJAX的安全性及AJAX安全隐患

　　Web开发者不会注意到由 “AJAX（Asynchronous JavaScript And XML）”所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web的应用程序，这在很大程度上要归功于这种技术。然而，伴随着AJAX应用程序的发展，我们发现了它的一些不足之处，我们发现它的安全漏洞也在逐渐变大，就像慢慢地把基于AJAX的站点放入了一颗定时炸弹中。

　　AJAX的好处

　　在当年“Web应用程序”的美好时代，事情非常简单。你填写了一个表单，点击“提交”按钮，然后当前屏幕就消失了，等待一小会儿后你就转入到了下一个页面。今天的状况已经不是这样的了，用户需要的是一种就像任何桌面应用程序那样流畅、快捷和人性化的Web体验。

　　AJAX经常是和DHTML（Dynamic HTML）一起协作的，它的顺利执行需要允许网页中的JavaScript代码和web服务器在后台无缝通讯。比方说，当你开始在Google Suggest的搜索框中输入东西时，web页面就和服务器在后台开始交换数据，然后会给出一些你可能需要的词条等。所有的这一切都不需要页面刷新或者按下任何按钮。同样这也就是像Gmail那样的应用程序怎么能对实时拼写检查做的那么好的原因。

　　AJAX怎样工作

　　AJAX复杂的原理已经超出了今天所要阐述的范围，这里只简单描述一下。你的页面上的JavaScript代码能够在不依赖于用户的情况下和你的Web服务器取得联系。这里面起核心作用的就是JavaScript的XMLHttpRequest对象，这个对象能够被就像用户敲击键盘或者时钟事件在后台或者异步触发（也就是术语异步JavaScript和XML）。

　　如果你在Google Suggest中输入“ajax”后，就会得到像我输入后得到的服务器请求一样：