JavaScript會讓Web 2.0網站資料外洩 CNET新聞專區 03/04/2007
原始碼檢查工具製造商Fortify Software 2日發表的報告指出,JavaScript可被用來抓取未適當防衛的Web 2.0網站資料。
Fortify稱此問題為「JavaScript挾持」,並在報告中詳細解釋該主題,但對長期追蹤網路安全的人士而言,這已經不是新聞。
JavaScript是Web 2.0盛行的要角,但惡意的JavaScript,尤其是結合了日漸普遍的網站安全瑕疵,可能引發潛藏的網路攻擊。
遭挾持的惡意JavaScript可攻擊同樣使用JavaScript的許多網路應用軟體的資料傳輸機制,未獲授權的攻擊者便可藉此讀取當中機密的資料。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同類瑕疵示範這種攻擊。由於Gmail用未防護的JavaScript傳輸資料,攻擊者可偷取Gmail用戶的通訊錄。
Fortify檢查了12種受歡迎的網路程式編寫工具,發現只有一種倖免於難。該公司表示:「只有DWR 2.0裝設了防範JavaScript挾持的機制。其他架構並未明確地提供任何防護,也沒有在使用說明中提及任何安全顧慮。」
Fortify檢查了四種伺服器整合工具組、Direct Web Remoting(DWR)、微軟ASP.Net Ajax(Atlas)、Xajax和Google Web Toolkit(GWT),及八種客端軟體組:Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。
要防範JavaScript挾持,Fortify建議Web 2.0應用軟體應在每一次請求納入一個難以猜出的參數,藉以拒絕惡意的請求。此外,應防止惡徒利用合法客端的功能直接執行JavaScript。(陳智文/譯)
分享到:
相关推荐
这个使用教程将深入探讨如何利用CSS、JavaScript和ASP等技术来构建和优化Web2.0应用。 一、CSS(层叠样式表) CSS是控制网页样式并实现页面布局的重要工具。在Web2.0中,CSS用于创建美观、响应式和易于阅读的界面。...
Web2.0是互联网发展的一个重要阶段,它标志着互联网从静态信息展示的Web1.0时代,迈向了用户参与、互动交流与个性化服务的新时代。Web2.0的核心理念是用户生成内容(User-Generated Content,UGC)、社交网络、富...
标题:Web 2.0与Ajax 描述:探讨了Web 2.0和Ajax的核心概念,包括它们在现代网络应用中的角色和影响。 标签:Ajax 部分内容:提到了Jim Driscoll对Web 2.0和Ajax的讲解,涵盖了定义、历史背景、Web 2.0的例子以及...
**AJAX(Asynchronous JavaScript and XML)和Web 2.0是互联网发展史上的两个重要概念,它们共同推动了Web应用程序的交互性和用户体验的提升。** **AJAX** 是一种在不重新加载整个网页的情况下,能够更新部分网页的...
《ArcGIS Server JavaScript API开发GeoWeb 2.0应用》一书由刘光和唐大仕共同撰写,主要探讨了如何使用ArcGIS Server的JavaScript API来构建GeoWeb 2.0应用程序。GeoWeb 2.0是地理信息系统(GIS)在互联网上的一个...
Web2.0技术标准鼓励使用合适的元标签、关键词、内链等策略,以提高网站的可见性和访问量。 总的来说,Web2.0技术标准推动了互联网的互动性和用户体验的提升,它涵盖了前端展示、后端交互、内容分发等多个方面,构建...
遵循Web2.0标准,不仅有助于提升网站的设计质量和用户体验,还能促进网站的可访问性、可维护性和搜索引擎优化(SEO)。在本文中,我们将深入探讨Web2.0标准的核心概念、重要性和实施方法。 1. **核心概念** Web2.0...
在开发基于Web2.0的社交网站时,开发者通常会考虑以下关键知识点: 1. **前端技术**:HTML5、CSS3和JavaScript是基础,jQuery和其他JavaScript库如Vue.js或React.js可以提供更丰富的交互体验。Ajax实现页面无刷新...
这些技术共同构成了Web2.0应用的基础框架,使开发者能够创建动态、富媒体且用户友好的网站。 二、PHP Web2.0架构设计 1. MVC(Model-View-Controller)模式:这是一种常见的架构模式,将业务逻辑、数据模型和用户...
7. **AJAX异步通信**:Web 2.0强调实时性,AJAX(Asynchronous JavaScript and XML)允许页面在不刷新的情况下与服务器交换数据并局部更新。PHP可以配合JavaScript的XMLHttpRequest对象实现异步留言功能,提升用户...
在Java Web 2.0开发中,我们主要会涉及到以下核心知识点: 1. **Servlet与JSP**:Servlet是Java编写服务器端程序的标准接口,用于扩展服务器的功能,处理HTTP请求。JSP(JavaServer Pages)则是一种动态网页技术,...
在《Web 2.0动态网站开发 : Ajax技术与应用》这本书中,作者阮征可能会详细讲解如何使用Ajax技术实现以下功能: - **异步数据交换**:Ajax使得网页可以在后台与服务器进行通信,用户无需等待页面刷新即可看到更新。...
《精通Struts 2:Web 2.0开发实战》这本书是Java Web开发领域的一本经典教程,专注于Struts 2框架的应用与实践。Struts 2作为一款强大的MVC(Model-View-Controller)框架,是Java EE平台上的重要组成部分,它极大地...
**Web2.0 技术概述** Web2.0 是互联网发展的一个重要阶段,它标志着互联网从静态信息展示向互动性、用户参与度和个性化体验的转变。在Web2.0概念下,用户不再仅仅是信息的消费者,而是成为了内容的创造者和分享者。...
"Web2.0成绩查询系统"是一个基于现代Web技术构建的在线成绩查询平台,它集成了编程代码、相关文档、数据库以及功能模块图等关键组件,使得用户可以直接部署并使用。该系统旨在提供一个便捷、高效的途径,让学生、...
“易语言WEB浏览器2.0支持库”提供了全面的API接口,涵盖了网页加载、页面控制、JavaScript交互等多个方面。开发者可以通过这些接口,实现对网页的加载、暂停、前进、后退、刷新等一系列操作。同时,支持库还允许...
1. **Web 2.0概念与技术**:首先,书中会介绍Web 2.0的基本概念,如Ajax(异步JavaScript和XML)、RESTful API设计、RSS/Atom订阅以及OAuth认证等,这些都是构建交互性强、用户体验良好的Web 2.0应用的关键技术。...
此外,还会包含CSS文件,用于定义各个元素的样式,以及可能的JavaScript或jQuery文件,用于实现动态效果。 在使用这些模板时,开发人员可以根据自己的需求进行定制,例如替换图片、修改文字内容、调整颜色方案,...
ASP.NET 2.0是微软开发的一个用于构建动态网站、Web应用程序和服务的框架。Web2.0则代表了互联网的第二次浪潮,强调用户交互、内容共创和社区建设。本电子教程详细介绍了如何利用ASP.NET 2.0的技术特性来实现Web2.0...