提高 Ajax 應(yīng)用程序性能避開(kāi) Web 服務(wù)漏洞-1

第第頁(yè)提高Ajax應(yīng)用程序性能，避開(kāi)Web服務(wù)漏洞提高Ajax應(yīng)用程序性能，避開(kāi)Web服務(wù)漏洞

發(fā)表于：2023-07-03來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：webWebWEB漏洞性能

部署高效帶寬Ajax應(yīng)用程序并不能保證ServiceLevelAgreement中的服務(wù)水平很高。無(wú)論怎樣修改Ajax代碼來(lái)提高帶寬效率，始終存在一些風(fēng)險(xiǎn)和漏洞，需要您進(jìn)行監(jiān)視并解決。developerWorks定期撰稿人JudithMyerson對(duì)Ajax進(jìn)行了簡(jiǎn)單的概述，解釋了We

部署高效帶寬Ajax應(yīng)用程序并不能保證ServiceLevelAgreement中的服務(wù)水平很高。無(wú)論怎樣修改Ajax代碼來(lái)提高帶寬效率，始終存在一些風(fēng)險(xiǎn)和漏洞，需要您進(jìn)行監(jiān)視并解決。developerWorks定期撰稿人JudithMyerson對(duì)Ajax進(jìn)行了簡(jiǎn)單的概述，解釋了Web服務(wù)漏洞是什么以及為何ServiceLevelAgreements（SLA）如此重要，并提出了一些改進(jìn)Ajax應(yīng)用程序的解決方案。簡(jiǎn)介

在最近的developerWorks系列在Web服務(wù)上下文中使用SLA中，我談?wù)摿耸褂肧LA保證的一些功能：保護(hù)多個(gè)Web服務(wù)、使用防火墻保護(hù)Web服務(wù)以及降低漏洞風(fēng)險(xiǎn)。盡管存在各種各樣的性能和標(biāo)準(zhǔn)規(guī)范，我還是側(cè)重討論了生產(chǎn)商為客戶(hù)提供高可用性服務(wù)的重要性。

本文將首先對(duì)AsynchronousJavaScript+XML（Ajax）進(jìn)行概述，提出一些漏洞問(wèn)題、討論SLA影響，然后解釋為什么具有高效帶寬的Ajax應(yīng)用程序不能保證降低或消除漏洞風(fēng)險(xiǎn)。本文還介紹了一些提高Ajax應(yīng)用程序性能并避開(kāi)Web服務(wù)漏洞的方法。

由于Ajax通過(guò)Internet從瀏覽器應(yīng)用程序轉(zhuǎn)移到服務(wù)器門(mén)戶(hù)，Ajax應(yīng)用程序?qū)⒚媾R一些新的安全漏洞。本文介紹一些實(shí)用的建議，幫助您在避開(kāi)Web服務(wù)漏洞的同時(shí)改善Ajax應(yīng)用程序的性能。Ajax概述

Ajax通過(guò)將用戶(hù)的瀏覽器體驗(yàn)（例如，企業(yè)對(duì)企業(yè)交易）轉(zhuǎn)換為一個(gè)基于XML的Web服務(wù)門(mén)戶(hù)（例如企業(yè)對(duì)消費(fèi)者交易），實(shí)現(xiàn)了響應(yīng)式和交互式Web服務(wù)。Ajax使用的方法是在Web頁(yè)面和服務(wù)器之間，通過(guò)HTTP協(xié)議構(gòu)建一個(gè)額外的處理層。該層攔截來(lái)自用戶(hù)的請(qǐng)求，然后在后臺(tái)與服務(wù)器通信并異步獲得所需的HTTP協(xié)議內(nèi)容。服務(wù)器請(qǐng)求和響應(yīng)不需要匹配用戶(hù)操作，例如一個(gè)更新數(shù)據(jù)庫(kù)記錄的請(qǐng)求和一個(gè)更新成功的響應(yīng)。

回頁(yè)首

Web服務(wù)漏洞

讓我們解決一些有關(guān)額外處理層的問(wèn)題。由于它依賴(lài)XML作為請(qǐng)求和響應(yīng)負(fù)載的內(nèi)容類(lèi)型，Ajax增加需要傳輸?shù)腦ML流量。當(dāng)出現(xiàn)大量的請(qǐng)求和響應(yīng)時(shí)，Ajax應(yīng)用程序會(huì)阻塞網(wǎng)絡(luò)通信。而更嚴(yán)重的問(wèn)題是，大量的通信會(huì)使Ajax應(yīng)用程序受到Web服務(wù)漏洞的威脅。如果這些漏洞被人利用，應(yīng)用程序或系統(tǒng)的性能將受到損害。

developerWorksAjax資源中心

請(qǐng)?jiān)L問(wèn)Ajax資源中心，這是有關(guān)Ajax編程模型信息的一站式中心，包括很多文章和教程、討論論壇、blog、wiki、活動(dòng)和新聞。任何Ajax的新信息都能在這里找到。讓我們看看四個(gè)漏洞實(shí)例：

過(guò)高的帶寬破損數(shù)據(jù)頻繁的小型HTTP請(qǐng)求內(nèi)存泄漏過(guò)高的帶寬

文本格式的XML消息可能是二進(jìn)制數(shù)據(jù)帶寬量的兩倍之多。傳輸XML消息所需的帶寬越多，系統(tǒng)或應(yīng)用程序用來(lái)執(zhí)行其他任務(wù)的可用資源就越少。例如執(zhí)行復(fù)雜算法來(lái)獲取期望結(jié)果。過(guò)高的帶寬可能導(dǎo)致由系統(tǒng)超載引起的性能減退。

破損數(shù)據(jù)

過(guò)高的帶寬將導(dǎo)致Ajax應(yīng)用程序輸出破損的數(shù)據(jù)，因?yàn)闆](méi)有足夠的資源生成干凈的數(shù)據(jù)。這意味著Web服務(wù)門(mén)戶(hù)（Ajax應(yīng)用程序?qū)儆谄渲械囊徊糠郑哑茡p數(shù)據(jù)暴露給門(mén)戶(hù)的其他部分，從而導(dǎo)致畸形消息和過(guò)度解析。如果威脅者利用了這個(gè)漏洞，則會(huì)引起瀏覽器崩潰。

頻繁的小請(qǐng)求

Ajax的一個(gè)缺點(diǎn)就是允許您生成大量較小的請(qǐng)求，而不是一個(gè)大的post-back。頻繁的、較小的HTTP請(qǐng)求會(huì)加重后端服務(wù)器、負(fù)載均衡程序和防火墻的負(fù)擔(dān)，結(jié)果是造成過(guò)高的帶寬，最終導(dǎo)致性能降低。它們還會(huì)超出瀏覽器或較慢的網(wǎng)絡(luò)連接的接受能力，從而導(dǎo)致網(wǎng)絡(luò)性能瓶頸。

內(nèi)存泄漏

在一個(gè)典型的Web應(yīng)用程序中，Web頁(yè)面經(jīng)常重新加載，清除該頁(yè)面的內(nèi)存并開(kāi)始一個(gè)干凈的頁(yè)面。使用Ajax時(shí)，等待Web服務(wù)門(mén)戶(hù)呈現(xiàn)下一部分內(nèi)容的時(shí)候不需要重新加載頁(yè)面。使用Ajax可以在瀏覽器中保持一個(gè)單頁(yè)面應(yīng)用程序長(zhǎng)達(dá)數(shù)天，這使內(nèi)存或其它資源泄漏更加嚴(yán)重。過(guò)度的內(nèi)存泄漏（以及過(guò)高的帶寬和頻繁的HTTP請(qǐng)求）可能會(huì)造成Web門(mén)戶(hù)出現(xiàn)破損數(shù)據(jù)，增加了黑客從Internet中利用系統(tǒng)漏洞的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估

對(duì)于上面的四個(gè)例子