AJAX技術可能會擴大安全方面的威脅

ajax|安全

    分析人士警告說，機構如果考慮使用非同步Javascript和XML（AJAX）技術建立更多的動態網頁，就需要確保這些網頁不會在無意間將自己的網路大門向其他應用敞開，而如果不使用AJAX，這些應用可能是安全的。

分析人士表示，雖然AJAX自己不會產生新的安全危險，但它卻極有可能擴大目前已經充分瞭解的幾個安全威脅的嚴重性，這些威脅包括SQL資料隱碼（SQL injections）、跨站指令碼（cross-site scripting）和服務拒絕攻擊等。

    目前就出現了一個與此相關的案例：本周的Yamanner郵件群發蠕蟲。在此案例中，Yamanner蠕蟲利用Yahoo公司電子郵件服務上的一個明顯的跨站指令碼錯誤，感染了數以千計的使用者。蠕蟲伴隨一個標題為“新圖形網站（New Graphic Site）”的郵件進入使用者的Yahoo郵箱，當使用者開啟受感染的電子郵件時，這個蠕蟲就被啟用。

    與使用HTML方式編寫的網頁相比，企業採用AJAX編程技術，可隨時向網頁增添一些新內容，而無需重新載入整個頁面，這樣就大大提高了企業網站對客戶輸入所作出的響應。這些使用Javascript和XML技術的網站，允許瀏覽器從網頁伺服器上讀取少量的資料。