A-A+

ajax实现垮域访问初探

2008年11月30日 未分类 暂无评论 阅读 1 次

这个应该归到javascript的安全性问题一般服务器A设置的是不允许别的域的机器B执行B上的ajax调用服务器A上的资源原因,可以举个简单的安全隐患例子:
假设ajax可以垮域访问,那么我在自己机器上可以写ajax请求Google各类web应用中的资源比如先用firefox研究GMail在登录过程中大量ajax请求的地址以及参数,可以得到用户cookie的验证过程然后写js去跨域获取别的用户的cookie,这样可以绕过用户的GMail密码而登入他人的GMail邮箱

那么有了ajax跨域限制,是不是就真的不能做ajax垮域访问了?
ajax垮域确实不行,但是我们可以中转实现,也就是所谓的代理
原理很简单,在自己的js跟远程服务器A的资源之间架设一个自己的容器
可以用asp、php、java、.net等所有可以的动态web语言
以asp为例(获取热得快网站某个用户的好友列表,返回xml数据格式)

<%
p = "http://redekuai.com/api/user_friends_xml/funy"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>
这段代码保存为一个proxy.asp,然后放到IIS里,这个时候就可以随便找个机器写js了,用ajax请求proxy.asp,最后相当于实现了ajax垮域访问
php的示例代码更简单
echo file_get_contents("http://redekuai.com/api/user_friends_xml/funy"");
?>
注:php版本需要>= 4.3.0

再给个asp.net(C#)版本的示例代码:

using System.Net;
using System.IO;
using System.Text;
public partial class ajaxpages: System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        WebRequest wr = WebRequest.Create("http://redekuai.com/api/user_friends_xml/funy");
        WebResponse wres = wr.GetResponse ();
        Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
        StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
        string html = sr.ReadToEnd();
        Response.Write(html);
        sr.Close();
        wres.Close();
    }
}
分别为proxy.asp proxy.php proxy.aspx
那么做好代理,实现了自己一般机器(非web服务器)上js垮域访问远程网站资源有什么实际的意义呢?
要知道,现在的互联网技术已经进入了绝对的Mashup时代
老美有2k多个公司靠做facebook的APP存活着,国外的这种产业链真的不能在国内发展吗?要知道5年后互联网也会成为中国的基础设施了
已经有做的比较好的web2.0站点在开放API(又拍、热得快)或者准备开放

给我留言

Copyright © 浩然东方 保留所有权利.   Theme  Ality 07032740

用户登录