傳統(tǒng)保護(hù)技術(shù)眾所周知，Web本質(zhì)上是一種不安全的媒介。當(dāng)用戶(hù)訪(fǎng)問(wèn)Web應(yīng)用或者打開(kāi)Web頁(yè)面時(shí)，所有客戶(hù)端的代碼(HTML，JavaScript源文件以及CSS樣式)一般都要下載到客戶(hù)端緩沖區(qū)。用戶(hù)只需點(diǎn)擊一下“查看源文件”就可以查看、分析和復(fù)制這些代碼。

　　客戶(hù)端JavaScript代碼保護(hù)方法主要可以分成如下幾類(lèi)：

　　a)Microsoft的方法：Microsoft通過(guò)發(fā)布Windows Script Engine Version 5.0來(lái)解決客戶(hù)端源代碼保護(hù)問(wèn)題。源代碼通過(guò)一個(gè)ActiveX層編碼(不是加密)。這種方法的缺點(diǎn)是經(jīng)過(guò)編碼的代碼只有IE 5.0+才能解碼，而且他們坦率承認(rèn)編碼過(guò)程并非簡(jiǎn)單易行。如果你使用的是其他瀏覽器(包括IE瀏覽器的早期版本)，你就不能通過(guò)瀏覽器訪(fǎng)問(wèn)腳本代碼。

　　b)模糊代碼(Code Obfuscation)：一些共享軟件，比如Jammer以及JMyth，企圖通過(guò)讓代碼變得難于閱讀、讓變量名字變得雜亂去防止有人偷竊JavaScript代碼。這種方法的缺點(diǎn)在于，任何有決心的程序員都能夠用全局搜索和替換工具輕松地打破這種保護(hù)，因?yàn)檫@只需把那些含義模糊的變量名字改成含義明確的變量名字即可。

　　c)加密：有許多方案、工具能夠有效地加密JavaScript代碼。加密客戶(hù)端JavaScript代碼最主要的問(wèn)題在于用來(lái)解密的腳本代碼往往很容易取得，導(dǎo)致對(duì)代碼實(shí)施反向工程非常容易。顯然，這種方法不能阻止任何認(rèn)真的程序員獲取源代碼。雖然我們可以用Java作為加密和解密過(guò)程的中間工具，但遺憾的是，Applet會(huì)給Web頁(yè)面增加不必要的額外負(fù)荷，而且它會(huì)因?yàn)闉g覽器所用Java虛擬機(jī)版本的不同而無(wú)法正常運(yùn)行。相對(duì)而言，DHTML卻意味著快速、小巧、通用和可移植。

　　在基于A(yíng)SP的WML頁(yè)面中，服務(wù)器端代碼會(huì)有如下內(nèi)容：

　　可以看到，我們首先發(fā)送了一個(gè)WML頭，使得無(wú)線(xiàn)瀏覽器認(rèn)為該ASP頁(yè)面實(shí)際上是一個(gè)WML頁(yè)面。這種技術(shù)同樣可以用來(lái)保護(hù)JavaScript源文件(.js文件)。

　　Netscape隨著JavaScript 1.2的發(fā)布引入了對(duì)JavaScript源文件的支持。大多數(shù)支持該版本JavaScript的瀏覽器都支持JavaScript源文件(Internet Explorer 3.0+，Netscape 3.0+以及Opera 5.0)。動(dòng)態(tài)HTML(DHTML)由JavaScript和CSS混合構(gòu)成。CSS樣式使得開(kāi)發(fā)者能夠自由地在瀏覽器窗口中表現(xiàn)各種頁(yè)面元素，而JavaScript則提供了控制瀏覽器本身的必要功能。JavaScript是DHTML的關(guān)鍵組成部分。

　　下面我們通過(guò)例子來(lái)說(shuō)明這種新的DHTML源代碼保護(hù)方法。這個(gè)例子涉及三個(gè)文件：index.asp，js.asp以及global.asa。global.asa定義了一個(gè)auth會(huì)話(huà)變量，該變量用于驗(yàn)證請(qǐng)求JavaScript源文件的頁(yè)面起源是否合法。這里選擇使用會(huì)話(huà)變量的原因在于它用起來(lái)比較方便。

　　過(guò)用HTTP_REFERER系統(tǒng)變量來(lái)驗(yàn)證發(fā)出請(qǐng)求的頁(yè)面，這個(gè)變量可以通過(guò)telnet偽造，而且某些瀏覽器未能在運(yùn)行時(shí)正確地顯示出HTTP_REFERER變量。　?。?/P>

　　index.asp

　　下面我們來(lái)分析一下index.asp。首先，程序把a(bǔ)uth會(huì)話(huà)變量設(shè)置成了“true”，它表示請(qǐng)求.js文件的頁(yè)面應(yīng)該被信任。接下來(lái)的幾個(gè)Response調(diào)用防止瀏覽器緩存index.asp頁(yè)面。

　　一般地，在HTML文件中調(diào)用JavaScript源文件的語(yǔ)法如下：

　　< script language="Javascript" src="yourscript.js" >< /script >

　　但在本例中，我們調(diào)用的卻是一個(gè)ASP頁(yè)面而不是JavaScript源文件：

      < script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >

　　如果要遮掩應(yīng)用正在請(qǐng)求ASP頁(yè)面這一事實(shí)，你可以把js.asp改名為index.asp(或者default.asp)，然后把這個(gè)文件放到單獨(dú)的目錄之中，比如“/js/”，此時(shí)上面這行代碼就改為：

      < script language="Javascript" type="text/javascript" SRC="/js/" >< /script >

　　這幾乎能夠迷惑任何企圖獲取JavaScript源文件的人了。不過(guò)，請(qǐng)不要忘記在IIS服務(wù)器配置中正確地設(shè)置默認(rèn)頁(yè)面文件的名字。?。?/P>

　　js.asp

　　下面我們來(lái)分析一下js.asp如何進(jìn)行驗(yàn)證以及發(fā)送JavaScript代碼。程序首先檢查會(huì)話(huà)變量auth，看看請(qǐng)求的起源是否合法。如是，則關(guān)閉瀏覽器緩存，重新設(shè)置會(huì)話(huà)變量，然后向?yàn)g覽器發(fā)送JavaScript代碼。如果對(duì)js.asp的請(qǐng)求不是來(lái)自可靠的起源，會(huì)話(huà)變量auth是false，程序只發(fā)送一個(gè)帶有版權(quán)聲明的空白頁(yè)面。

　　其結(jié)果是，如果用戶(hù)企圖下載JavaScript源文件或者在另一個(gè)網(wǎng)站上使用JavaScript源文件，他得到的只是一個(gè)空白頁(yè)面。這樣，我們也就實(shí)現(xiàn)了對(duì)誰(shuí)可以訪(fǎng)問(wèn)DHTML源文件的控制。

如果要在Web頁(yè)面中保護(hù)頁(yè)面實(shí)際內(nèi)容的HTML代碼，你可以在js.asp文件中創(chuàng)建一個(gè)函數(shù)，如下所示：

　　然后，主頁(yè)面只需簡(jiǎn)單地調(diào)用一下html()即可構(gòu)造出Web頁(yè)面。這種頁(yè)面只有在用戶(hù)啟用了瀏覽器的JavaScript支持之后才會(huì)顯示。如果用戶(hù)查看這種頁(yè)面的源代碼，他看到的只有一個(gè)函數(shù)調(diào)用，而不會(huì)看到函數(shù)調(diào)用所返回的源代碼。

　　這種表現(xiàn)出兩種(或更多)不同類(lèi)型文件特征的ASP可以稱(chēng)為“混合ASP”。下面是JavaScript/ASP混合文件的一些特點(diǎn)：

　　JavaScript源文件直接發(fā)向?yàn)g覽器，未經(jīng)緩存。

　　文件經(jīng)過(guò)必要的驗(yàn)證，防止了用戶(hù)下載源代碼。

　　最終用戶(hù)不能直接訪(fǎng)問(wèn)源代碼。

　　會(huì)話(huà)變量：

　　在上面的例子中，我們使用會(huì)話(huà)變量驗(yàn)證JavaScript源文件調(diào)用的起源。如果網(wǎng)站的訪(fǎng)問(wèn)量非常高，這可能不是進(jìn)行驗(yàn)證的最好方法。

　　每次用戶(hù)訪(fǎng)問(wèn)Web頁(yè)面或Web應(yīng)用時(shí)都要?jiǎng)?chuàng)建一個(gè)會(huì)話(huà)變量。服務(wù)器保持會(huì)話(huà)唯一標(biāo)識(shí)符的默認(rèn)時(shí)間是20分鐘。如果服務(wù)器同時(shí)要為大量訪(fǎng)問(wèn)者維持狀態(tài)信息，你可以想象出服務(wù)器的負(fù)載會(huì)有多高。

　　解決這個(gè)問(wèn)題主要有兩種方法：

　　在服務(wù)器上把會(huì)話(huà)超時(shí)時(shí)間設(shè)置得盡量小。此外，當(dāng)代碼已經(jīng)發(fā)送給瀏覽器之后，調(diào)用Session.Abandon釋放會(huì)話(huà)狀態(tài)信息。這種方法適用于中小流量的網(wǎng)站。

　　對(duì)于高流量的網(wǎng)站，建議通過(guò)GUID/數(shù)據(jù)庫(kù)結(jié)合維持會(huì)話(huà)狀態(tài)的方法進(jìn)行驗(yàn)證。

　　內(nèi)存分配：

　　大多數(shù)基于Mozilla的瀏覽器都用Spidermonkey JavaScript引擎解釋執(zhí)行JavaScript。這個(gè)引擎的優(yōu)點(diǎn)包括：以解釋方式執(zhí)行代碼(與編譯方式相對(duì)應(yīng))，動(dòng)態(tài)垃圾收集機(jī)制(換句話(huà)說(shuō)，自動(dòng)釋放內(nèi)存空間避免內(nèi)存漏洞吞噬計(jì)算機(jī)資源)。

　　試試下面這個(gè)操作：運(yùn)行上面的例子。函數(shù)執(zhí)行之后，進(jìn)入U(xiǎn)RL地址欄，選中URL并敲Enter，你可以看到此時(shí)函數(shù)并不執(zhí)行，瀏覽器顯示了一個(gè)JavaScript錯(cuò)誤。然而，如果你點(diǎn)擊瀏覽器的刷新按鈕，函數(shù)將正常執(zhí)行。

　　下面是產(chǎn)生這種情況的原因：JavaScript函數(shù)執(zhí)行之后，由于瀏覽器假定需要時(shí)這些代碼仍舊可以從緩存獲得，于是它就釋放了為JavaScript保留的內(nèi)存。然而，ASP代碼禁止了瀏覽器緩存JavaScript代碼。由于瀏覽器不能再引用內(nèi)存中的函數(shù)，也不能再?gòu)木彺嬷蝎@取函數(shù)代碼，所以你就在按Enter鍵時(shí)看到了一個(gè)錯(cuò)誤。

　　點(diǎn)擊瀏覽器的刷新按鈕時(shí)，瀏覽器將重新從服務(wù)器下載函數(shù)代碼并執(zhí)行。如果代碼不再引用函數(shù)，則JavaScript引擎將釋放函數(shù)。但有一種方法可以強(qiáng)制瀏覽器在內(nèi)存中保留函數(shù)，即在程序執(zhí)行期間始終激活對(duì)函數(shù)的引用。

　　早期的/不兼容的瀏覽器：

　　毫無(wú)疑問(wèn)，本文所介紹的方法不適合JavaScript版本早于1.2的瀏覽器。解決辦法是編寫(xiě)一個(gè)預(yù)先進(jìn)行檢查的程序，由該程序檢查用戶(hù)瀏覽器是否和你的Web應(yīng)用兼容。

　　包截?。?/STRONG>