|
巧用ASP技術(shù)保護(hù)DHTML源代碼
2001-8-18 動(dòng)網(wǎng)先鋒
DHTML使得我們能夠開發(fā)出功能強(qiáng)大的Web應(yīng)用客戶端��,它具有跨瀏覽器兼容、可交互和可移植等特點(diǎn)。它的缺點(diǎn)是用戶能
夠直接查看JavaScript代碼�����。本文介紹如何運(yùn)用ASP技術(shù)保護(hù)DHTML代碼,防止有人竊取你的DHTML代碼。
傳統(tǒng)保護(hù)技術(shù)
眾所周知,Web本質(zhì)上是一種不安全的媒介。當(dāng)用戶訪問Web應(yīng)用或者打開Web頁面時(shí),所有客戶端的代碼(HTML����,
JavaScript源文件以及CSS樣式)一般都要下載到客戶端緩沖區(qū)��。用戶只需點(diǎn)擊一下“查看源文件”就可以查看、分析和復(fù)
制這些代碼���。
MSDN摘錄了Wrox《Instant JavaScript》一書的部分內(nèi)容,它指出了保護(hù)JavaScript代碼的幾種方法����,具體請參見這
里���。
客戶端JavaScript代碼保護(hù)方法主要可以分成如下幾類:
a)Microsoft的方法:Microsoft通過發(fā)布Windows Script Engine Version 5.0來解決客戶端源代碼保護(hù)問題���。源代碼通
過一個(gè)ActiveX層編碼(不是加密)�。請參見Script Encoding with the Microsoft Script Engine Version 5.0��。
這種方法的缺點(diǎn)是經(jīng)過編碼的代碼只有IE 5.0+才能解碼���,而且他們坦率承認(rèn)編碼過程并非簡單易行。如果你使用的是其他
瀏覽器(包括IE瀏覽器的早期版本)����,你就不能通過瀏覽器訪問腳本代碼��。
b)模糊代碼(Code Obfuscation):一些共享軟件,比如Jammer以及JMyth��,企圖通過讓代碼變得難于閱讀���、讓變量名字
變得雜亂去防止有人偷竊JavaScript代碼�。這種方法的缺點(diǎn)在于,任何有決心的程序員都能夠用全局搜索和替換工具輕松
地打破這種保護(hù)����,因?yàn)檫@只需把那些含義模糊的變量名字改成含義明確的變量名字即可�。關(guān)于JAMMER的更多說明��,請參見
這里�。
c)加密:有許多方案�、工具能夠有效地加密JavaScript代碼。加密客戶端JavaScript代碼最主要的問題在于用來解密的腳
本代碼往往很容易取得��,導(dǎo)致對代碼實(shí)施反向工程非常容易��。顯然�,這種方法不能阻止任何認(rèn)真的程序員獲取源代碼��。雖
然我們可以用Java作為加密和解密過程的中間工具���,但遺憾的是���,Applet會給Web頁面增加不必要的額外負(fù)荷���,而且它會因
為瀏覽器所用Java虛擬機(jī)版本的不同而無法正常運(yùn)行。相對而言����,DHTML卻意味著快速�����、小巧���、通用和可移植��。
一種新方法
在試驗(yàn)WML(Wireless Markup Language)時(shí),我想到了一種保護(hù)客戶端源代碼的新方法���。在基于ASP的WML頁面中,服務(wù)器
端代碼會有如下內(nèi)容:
< % Response.ContentType = "text/vnd.wap.wml" % >
< ?xml version="1.0" encoding="iso-8859-1"? >
< !DOCTYPE wml PUBLIC "-//WAPFORUM//DTD WML 1.1//EN"
"http://www.wapforum.org/DTD/wml_1.1.xml" >
< wml >
......
可以看到�,我們首先發(fā)送了一個(gè)WML頭���,使得無線瀏覽器認(rèn)為該ASP頁面實(shí)際上是一個(gè)WML頁面����。這種技術(shù)同樣可以用來保護(hù)
JavaScript源文件(.js文件)�。
Netscape隨著JavaScript 1.2的發(fā)布引入了對JavaScript源文件的支持。大多數(shù)支持該版本JavaScript的瀏覽器都支持
JavaScript源文件(Internet Explorer 3.0+��,Netscape 3.0+以及Opera 5.0)��。動(dòng)態(tài)HTML(DHTML)由JavaScript和CSS
混合構(gòu)成����。CSS樣式使得開發(fā)者能夠自由地在瀏覽器窗口中表現(xiàn)各種頁面元素��,而JavaScript則提供了控制瀏覽器本身的必
要功能��。JavaScript是DHTML的關(guān)鍵組成部分。
下面我們通過例子來說明這種新的DHTML源代碼保護(hù)方法。這個(gè)例子涉及三個(gè)文件:index.asp,js.asp以及global.asa���。
global.asa定義了一個(gè)auth會話變量���,該變量用于驗(yàn)證請求JavaScript源文件的頁面起源是否合法�����。這里選擇使用會話變
量的原因在于它用起來比較方便���。
global.asa
Sub Session_OnStart
Session("auth") = False
End Sub
我曾經(jīng)試過用HTTP_REFERER系統(tǒng)變量來驗(yàn)證發(fā)出請求的頁面起源是否合法�,后來發(fā)現(xiàn)這個(gè)變量可以通過telnet偽造�����,而且
某些瀏覽器未能在運(yùn)行時(shí)正確地顯示出HTTP_REFERER變量�����。
index.asp
< % Session("auth") = True
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
% >
< html >
< head >
< title >測試頁面< /title >
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
< /head >
< body >
< script language="Javascript" >test();< /script >
< br >
< a href="index.asp" >reload< /a >
< /body >
< /html >
下面我們來分析一下index.asp。首先����,程序把a(bǔ)uth會話變量設(shè)置成了“true”��,它表示請求.js文件的頁面應(yīng)該被信任。
接下來的幾個(gè)Response調(diào)用防止瀏覽器緩存index.asp頁面���。
一般地,在HTML文件中調(diào)用JavaScript源文件的語法如下:
< script language="Javascript" src="yourscript.js" >< /script >
但在本例中�,我們調(diào)用的卻是一個(gè)ASP頁面而不是JavaScript源文件:
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
如果要遮掩應(yīng)用正在請求ASP頁面這一事實(shí)�����,你可以把js.asp改名為index.asp(或者default.asp),然后把這個(gè)文件放到
單獨(dú)的目錄之中,比如“/js/”����,此時(shí)上面這行代碼就改為:
< script language="Javascript" type="text/javascript" SRC="/js/" >< /script >
這幾乎能夠迷惑任何企圖獲取JavaScript源文件的人了。不過��,請不要忘記在IIS服務(wù)器配置中正確地設(shè)置默認(rèn)頁面文件的
名字�����。
js.asp
< %
IF Session("auth") = True THEN
Response.ContentType = "application/x-javascript"
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
Session("auth") = False
% >
function test(){
document.write('這是javascript函數(shù)的輸出.');
}
< %ELSE% >
< !--這些代碼受版權(quán)保護(hù)�。所有權(quán)利保留-- >
< %END IF% >
下面我們來分析一下js.asp如何進(jìn)行驗(yàn)證以及發(fā)送JavaScript代碼。程序首先檢查會話變量auth�,看看請求的起源是否合
法��。如是,則關(guān)閉瀏覽器緩存�����,重新設(shè)置會話變量�����,然后向?yàn)g覽器發(fā)送JavaScript代碼���。如果對js.asp的請求不是來自可
靠的起源���,會話變量auth是false����,程序只發(fā)送一個(gè)帶有版權(quán)聲明的空白頁面����。
其結(jié)果是,如果用戶企圖下載JavaScript源文件或者在另一個(gè)網(wǎng)站上使用JavaScript源文件�,他得到的只是一個(gè)空白頁
面。這樣����,我們也就實(shí)現(xiàn)了對誰可以訪問DHTML源文件的控制����。
如果要在Web頁面中保護(hù)頁面實(shí)際內(nèi)容的HTML代碼�,你可以在js.asp文件中創(chuàng)建一個(gè)函數(shù),如下所示:
function html(){
document.write('< html >< body >頁面內(nèi)容< \/body >< \/html > ');
}
然后�,主頁面只需簡單地調(diào)用一下html()即可構(gòu)造出Web頁面�。這種頁面只有在用戶啟用了瀏覽器的JavaScript支持之后才
會顯示��。如果用戶查看這種頁面的源代碼��,他看到的只有一個(gè)函數(shù)調(diào)用,而不會看到函數(shù)調(diào)用所返回的源代碼�����。
這種表現(xiàn)出兩種(或更多)不同類型文件特征的ASP可以稱為“混合ASP”���。下面是JavaScript/ASP混合文件的一些特
點(diǎn):
●JavaScript源文件直接發(fā)向?yàn)g覽器�����,未經(jīng)緩存�����。
●文件經(jīng)過必要的驗(yàn)證,防止了用戶下載源代碼���。
●最終用戶不能直接訪問源代碼。
上面的代碼已經(jīng)在Windows 98���、Windows NT平臺的Personal Web Server以及IIS 4上進(jìn)行了測試����,在下列瀏覽器上代碼均
能流暢地運(yùn)行:Netscape 4.7,Internet Explorer 5,Netscape 6以及Opera 5.0�����。
局限
和任何其他技術(shù)一樣�,本文所介紹的技術(shù)也有其固有的局限。
▲ 會話變量:
在上面的例子中,我們使用會話變量驗(yàn)證JavaScript源文件調(diào)用的起源。如果網(wǎng)站的訪問量非常高,這可能不是進(jìn)行驗(yàn)證
的最好方法。
每次用戶訪問Web頁面或Web應(yīng)用時(shí)都要?jiǎng)?chuàng)建一個(gè)會話變量����。服務(wù)器保持會話唯一標(biāo)識符的默認(rèn)時(shí)間是20分鐘����。如果服務(wù)器
同時(shí)要為大量訪問者維持狀態(tài)信息,你可以想象出服務(wù)器的負(fù)載會有多高。
解決這個(gè)問題主要有兩種方法:
●在服務(wù)器上把會話超時(shí)時(shí)間設(shè)置得盡量小����。此外��,當(dāng)代碼已經(jīng)發(fā)送給瀏覽器之后,調(diào)用Session.Abandon釋放會話狀態(tài)信
息。這種方法適用于中小流量的網(wǎng)站。
●對于高流量的網(wǎng)站,建議通過GUID/數(shù)據(jù)庫結(jié)合維持會話狀態(tài)的方法進(jìn)行驗(yàn)證����。
▲ 內(nèi)存分配:
大多數(shù)基于Mozilla的瀏覽器都用Spidermonkey JavaScript引擎解釋執(zhí)行JavaScript���。這個(gè)引擎的優(yōu)點(diǎn)包括:以解釋方式
執(zhí)行代碼(與編譯方式相對應(yīng))��,動(dòng)態(tài)垃圾收集機(jī)制(換句話說,自動(dòng)釋放內(nèi)存空間避免內(nèi)存漏洞吞噬計(jì)算機(jī)資源)����。
試試下面這個(gè)操作:運(yùn)行上面的例子�。函數(shù)執(zhí)行之后��,進(jìn)入U(xiǎn)RL地址欄,選中URL并敲Enter,你可以看到此時(shí)函數(shù)并不執(zhí)
行�����,瀏覽器顯示了一個(gè)JavaScript錯(cuò)誤�����。然而����,如果你點(diǎn)擊瀏覽器的刷新按鈕����,函數(shù)將正常執(zhí)行。
下面是產(chǎn)生這種情況的原因:JavaScript函數(shù)執(zhí)行之后��,由于瀏覽器假定需要時(shí)這些代碼仍舊可以從緩存獲得�����,于是它就
釋放了為JavaScript保留的內(nèi)存�����。然而,ASP代碼禁止了瀏覽器緩存JavaScript代碼����。由于瀏覽器不能再引用內(nèi)存中的函
數(shù)����,也不能再從緩存中獲取函數(shù)代碼�����,所以你就在按Enter鍵時(shí)看到了一個(gè)錯(cuò)誤。
點(diǎn)擊瀏覽器的刷新按鈕時(shí)��,瀏覽器將重新從服務(wù)器下載函數(shù)代碼并執(zhí)行�����。如果代碼不再引用函數(shù)��,則JavaScript引擎將釋
放函數(shù)。但有一種方法可以強(qiáng)制瀏覽器在內(nèi)存中保留函數(shù)����,即在程序執(zhí)行期間始終激活對函數(shù)的引用��。
▲ 早期的/不兼容的瀏覽器:
毫無疑問,本文所介紹的方法不適合JavaScript版本早于1.2的瀏覽器���。解決辦法是編寫一個(gè)預(yù)先進(jìn)行檢查的程序,由該程
序檢查用戶瀏覽器是否和你的Web應(yīng)用兼容�。
▲ 包截�����。
理論上����,只要企圖竊取代碼的人具有足夠的決心��,他可以在代碼向?yàn)g覽器發(fā)送時(shí)通過竊取數(shù)據(jù)包竊取代碼����。然而�����,這項(xiàng)工
作所要耗費(fèi)的時(shí)間和精力使得它幾乎成為不可能的事情。而且���,如果你想要獲得百分之百安全的傳輸,還可以使用SSL�。使
用SSL唯一的缺點(diǎn)在于應(yīng)用只能在支持SSL的瀏覽器上運(yùn)行����。
■ 小結(jié):
“混合ASP”技術(shù)的應(yīng)用當(dāng)然不會局限于ASP和JavaScript源文件�����。在理論上��,它可以在許多服務(wù)器端腳本語言環(huán)境中應(yīng)
用,比如CGI或者PHP�。此外���,這種技術(shù)理論上還可以用于保護(hù)其他文件��,如圖形、聲音和文檔��。例如����,“混合ASP”文件完
全可以起到圖形文件的作用,具體方法是先驗(yàn)證請求的起源�,向?yàn)g覽器發(fā)送正確的內(nèi)容類型標(biāo)識�,然后從SQL數(shù)據(jù)庫提取并
發(fā)送BLOB字段的圖形文件��。它在這方面的應(yīng)用可以說是沒有止境的���。
在未來的許多年里�,JavaScript和DHTML仍將繼續(xù)發(fā)展����,并繼續(xù)作為一種重要的Web開發(fā)工具而存在�。W3C有望認(rèn)可客戶端編
程工具的價(jià)值和重要性,并為了保護(hù)它而制定一個(gè)標(biāo)準(zhǔn)���。
|
溫馨提示:喜歡本站的話,請收藏一下本站�����!
