本文将了解ajax技术所带来的威胁，熟悉一些基本的ajax 构建技术……

　　ajax，即异步 javascript 与 xml，是 web2.0 中的一项关键技术，它允许把用户和 web 页面间的交互与 web 浏览器和服务器间的通信分离开来。尤其是 ajax 可以驱动 mushup，mushup 就是将多个内容或服务集成到一个单一的用户体验中。然而，由于其动态和多畴性，ajax 和 mushup 技术引入了一些新型威胁。

　　ajax 构建于动态 html(dhtml)技术之上，其中包括如下这些最常见的技术：

• 　　javascript：javascript 是一种脚本语言，在客户端 web 应用程序中经常使用。
• 　　文档对象模型(document object model，dom)：dom 是一种用于表示 html 或 xml 文档的标准对象模型。如今，大多数浏览器都支持 dom 并允许 javascript 代码动态地读取和修改 html 内容。
• 　　层叠样式表(cascading style sheets，css)：css 是一种用于说明 html 文档表示的样式表语言。javascript 能够在运行的时候对样式表进行修改，这样便可以动态地更新 web 页面的表示。

　　在 ajax 中，客户端 javascript 通过动态地修改 dom 树和样式表来更新 web 页面。此外，异步通信(可以通过下面介绍的技术实现)允许动态地更新数据，而无需重新加载整个 web 页面：

• 　　xmlhttprequest：xmlhttprequest是一个 api，它允许客户端的 javascript 与远程服务器建立 http 连接和交换数据，比如说纯文本、xml 和 json(javascript serialized object notation)。
• 　　json：json 由 rfc 4627 提出，是一种轻量的、基于文本的、独立于语言的数据交换格式。它以 ecmascript 语言的一个子集为基础(这使之成为 javascript 语言的一个部分)，并且定义了一小套格式规则用以创建结构数据的可移植表示。

　　注意，ajax 应用程序中还有一些其他常用的格式可以替代 json，比如说 xml 和无格式的纯文本。

　　理解同源策略

　　当来自多个始发源的内容以某种方式被集成到一个单一的应用程序中时，一些内容相互之间可能具有不同的信任级别，或者它们可能根本没有必要相互信任。这样自然而然会产生某种需求，即把来自不同始发者的内容分离开来，把它们之间的冲突减至最少。

　　同源策略是当前浏览器的保护机制的一部分，该机制将来自不同域(假设域代表的是始发者)的 web 应用程序分离开来。也就是说，如果多个窗口或框架中的一些应用程序是从不同的服务器下载的，那么它们无法相互访问数据和脚本。注意，同源策略只能应用于 html 文档。通过<script src="..." > 标记导入 html 文档的 javascript 文件被认为是该 html 文档的同源的一部分。该策略在所有主要浏览器实现中都有执行。

　　在 xmlhttprequest 的上下文中，同源策略的目的是控制应用程序与远程服务器的交互。然而，同源策略对 web 2.0 应用程序的影响力比较有限，这有如下几个原因：

• 　　可以通过许多方法绕过同源策略：稍后我将在文章中演示其中的一些方法。
• 　　web 2.0 应用程序的一个重要特性就是用户对内容的贡献：也就是说，通常内容并不是由受信任的服务提供的，而更多的是由异步用户通过 blog、wiki 等媒介提供的。因此，即便是单个服务器中的内容实际上也能够来自多个来源。
• 　　浏览器强制同源策略将服务器的域名作为串字面值进行检查：例如，http://www.abc.com/ 和 http://12.34.56.78/ 会被作为不同的域而区别对待，即使 www.abc.com 的 ip 地址实际上就是 12.34.56.78。此外，url 中的任何路径表达式都将被忽略。例如，http://www.abc.com/~alice 会被识别为 http://www.abc.com/~malroy 的同源，从而忽略了这样一个事实，即这两个目录有可能属于不同的用户。
• 　　大多数 web 浏览器允许 web 应用程序将域的定义放宽为应用程序自身的超域：比如说，如果应用程序是从 www.abc.com 处下载的，那么应用程序可以把 document.domain 属性重写为 abc.com 或者就是 com(在 firefox 中)。大多数最新的浏览器只允许访问已经把它们的 document.domain 属性重写为相同值的窗口或框架中的窗口对象。然而，一些版本比较老的浏览器允许与 document.domain 属性中指定的域建立 xmlhttprequest 连接。
• 　　即使某个 web 服务器位于受信任的域中，该服务器可能并不是内容的始发源，尤其是在 web 2.0 的上下文中：比如说，企业门户服务器、基于 web 的邮件服务器或者 wiki 可以是受信任的，但是他们所托管的内容可能包含来自具有潜在的恶意的第三方的输入，这个第三方可以是跨站脚本(cross-site scripting，xss)攻击(该攻击我们将在稍后介绍)的目标。因此，服务器所在的域并不能代表其内容的可信任度。

　　避免同源策略：json 和 动态脚本标记

　　由于 json 只是一种含有简单括号结构的纯文本，因此许多通道都可以交换 json 消息。因为同源策略的限制，我们不能在与外部服务器进行通信的时候使用 xmlhttprequest。jsonp(json with padding)是一种可以绕过同源策略的方法，即通过使用 json 与<script> 标记相结合的方法，如 清单 1 所示。

清单 1. json 例子

……