巧用ASP技术保护DHTML源代码
DHTML使得我们能够开发出功能强大的Web应用客户端,它具有跨浏览器兼容、可交互和可移植等特点。它的缺点是用户能够直接查看JavaScript代码。本文介绍如何运用ASP技术保护DHTML代码,防止有人窃取你的DHTML代码。
传统保护技术
众所周知,Web本质上是一种不安全的媒介。当用户访问Web应用或者打开Web页面时,所有客户端的代码(HTML,JavaScript源文件以及CSS样式)一般都要下载到客户端缓冲区。用户只需点击一下“查看源文件”就可以查看、分析和复制这些代码。
MSDN摘录了Wrox《Instant JavaScript》一书的部分内容,它指出了保护JavaScript代码的几种方法,具体请参见这里。
客户端JavaScript代码保护方法主要可以分成如下几类:
a)Microsoft的方法:Microsoft通过发布Windows Script Engine Version 5.0来解决客户端源代码保护问题。源代码通过一个ActiveX层编码(不是加密)。请参见Script Encoding with the Microsoft Script Engine Version 5.0。
这种方法的缺点是经过编码的代码只有IE 5.0+才能解码,而且他们坦率承认编码过程并非简单易行。如果你使用的是其他浏览器(包括IE浏览器的早期版本),你就不能通过浏览器访问脚本代码。
b)模糊代码(Code Obfuscation):一些共享软件,比如Jammer以及JMyth,企图通过让代码变得难于阅读、让变量名字变得杂乱去防止有人偷窃JavaScript代码。这种方法的缺点在于,任何有决心的程序员都能够用全局搜索和替换工具轻松地打破这种保护,因为这只需把那些含义模糊的变量名字改成含义明确的变量名字即可。关于JAMMER的更多说明,请参见这里。
c)加密:有许多方案、工具能够有效地加密JavaScript代码。加密客户端JavaScript代码最主要的问题在于用来解密的脚本代码往往很容易取得,导致对代码实施反向工程非常容易。显然,这种方法不能阻止任何认真的程序员获取源代码。虽然我们可以用Java作为加密和解密过程的中间工具,但遗憾的是,Applet会给Web页面增加不必要的额外负荷,而且它会因为浏览器所用Java虚拟机版本的不同而无法正常运行。相对而言,DHTML却意味着快速、小巧、通用和可移植。
一种新方法
在试验WML(Wireless Markup Language)时,我想到了一种保护客户端源代码的新方法。在基于ASP的WML页面中,服务器端代码会有如下内容:
< % Response.ContentType = "text/vnd.wap.wml" % >
< ?xml version="1.0" encoding="iso-8859-1"? >
< !DOCTYPE wml PUBLIC "-//WAPFORUM//DTD WML 1.1//EN"
"http://www.wapforum.org/DTD/wml_1.1.xml" >
< wml >
......
可以看到,我们首先发送了一个WML头,使得无线浏览器认为该ASP页面实际上是一个WML页面。这种技术同样可以用来保护JavaScript源文件(.js文件)。
Netscape随着JavaScript 1.2的发布引入了对JavaScript源文件的支持。大多数支持该版本JavaScript的浏览器都支持JavaScript源文件(Internet Explorer 3.0+,Netscape 3.0+以及Opera 5.0)。动态HTML(DHTML)由JavaScript和CSS混合构成。CSS样式使得开发者能够自由地在浏览器窗口中表现各种页面元素,而JavaScript则提供了控制浏览器本身的必要功能。JavaScript是DHTML的关键组成部分。
下面我们通过例子来说明这种新的DHTML源代码保护方法。这个例子涉及三个文件:index.asp,js.asp以及global.asa。global.asa定义了一个auth会话变量,该变量用于验证请求JavaScript源文件的页面起源是否合法。这里选择使用会话变量的原因在于它用起来比较方便。
global.asa
Sub Session_OnStart
Session("auth") = False
End Sub
我曾经试过用HTTP_REFERER系统变量来验证发出请求的页面起源是否合法,后来发现这个变量可以通过telnet伪造,而且某些浏览器未能在运行时正确地显示出HTTP_REFERER变量。
index.asp
< % Session("auth") = True
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
% >
< html >
< head >
< title >测试页面< /title >
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
< /head >
< body >
< script language="Javascript" >test();< /script >
< br >
< a href="index.asp" >reload< /a >
< /body >
< /html >
下面我们来分析一下index.asp。首先,程序把auth会话变量设置成了“true”,它表示请求.js文件的页面应该被信任。接下来的几个Response调用防止浏览器缓存index.asp页面。
一般地,在HTML文件中调用JavaScript源文件的语法如下:
< script language="Javascript" src="yourscript.js" >< /script >
但在本例中,我们调用的却是一个ASP页面而不是JavaScript源文件:
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
如果要遮掩应用正在请求ASP页面这一事实,你可以把js.asp改名为index.asp(或者default.asp),然后把这个文件放到单独的目录之中,比如“/js/”,此时上面这行代码就改为:
< script language="Javascript" type="text/javascript" SRC="/js/" >< /script >
这几乎能够迷惑任何企图获取JavaScript源文件的人了。不过,请不要忘记在IIS服务器配置中正确地设置默认页面文件的名字。
js.asp
< %
IF Session("auth") = True THEN
Response.ContentType = "application/x-javascript"
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
Session("auth") = False
% >
function test(){
document.write('这是javascript函数的输出.');
}
< %ELSE% >
< !--这些代码受版权保护。所有权利保留-- >
< %END IF% >
下面我们来分析一下js.asp如何进行验证以及发送JavaScript代码。程序首先检查会话变量auth,看看请求的起源是否合法。如是,则关闭浏览器缓存,重新设置会话变量,然后向浏览器发送JavaScript代码。如果对js.asp的请求不是来自可靠的起源,会话变量auth是false,程序只发送一个带有版权声明的空白页面。
其结果是,如果用户企图下载JavaScript源文件或者在另一个网站上使用JavaScript源文件,他得到的只是一个空白页面。这样,我们也就实现了对谁可以访问DHTML源文件的控制。
如果要在Web页面中保护页面实际内容的HTML代码,你可以在js.asp文件中创建一个函数,如下所示:
function html(){
document.write('< html >< body >页面内容< \/body >< \/html > ');
}
然后,主页面只需简单地调用一下html()即可构造出Web页面。这种页面只有在用户启用了浏览器的JavaScript支持之后才会显示。如果用户查看这种页面的源代码,他看到的只有一个函数调用,而不会看到函数调用所返回的源代码。
这种表现出两种(或更多)不同类型文件特征的ASP可以称为“混合ASP”。下面是JavaScript/ASP混合文件的一些特点:
●JavaScript源文件直接发向浏览器,未经缓存。
●文件经过必要的验证,防止了用户下载源代码。
●最终用户不能直接访问源代码。
上面的代码已经在Windows 98、Windows NT平台的Personal Web Server以及IIS 4上进行了测试,在下列浏览器上代码均能流畅地运行:Netscape 4.7,Internet Explorer 5,Netscape 6以及Opera 5.0。
局限
和任何其他技术一样,本文所介绍的技术也有其固有的局限。
▲ 会话变量:
在上面的例子中,我们使用会话变量验证JavaScript源文件调用的起源。如果网站的访问量非常高,这可能不是进行验证的最好方法。
每次用户访问Web页面或Web应用时都要创建一个会话变量。服务器保持会话唯一标识符的默认时间是20分钟。如果服务器同时要为大量访问者维持状态信息,你可以想象出服务器的负载会有多高。
解决这个问题主要有两种方法:
●在服务器上把会话超时时间设置得尽量小。此外,当代码已经发送给浏览器之后,调用Session.Abandon释放会话状态信息。这种方法适用于中小流量的网站。
●对于高流量的网站,建议通过GUID/数据库结合维持会话状态的方法进行验证。
▲ 内存分配:
大多数基于Mozilla的浏览器都用Spidermonkey JavaScript引擎解释执行JavaScript。这个引擎的优点包括:以解释方式执行代码(与编译方式相对应),动态垃圾收集机制(换句话说,自动释放内存空间避免内存漏洞吞噬计算机资源)。
试试下面这个操作:运行上面的例子。函数执行之后,进入URL地址栏,选中URL并敲Enter,你可以看到此时函数并不执行,浏览器显示了一个JavaScript错误。然而,如果你点击浏览器的刷新按钮,函数将正常执行。
下面是产生这种情况的原因:JavaScript函数执行之后,由于浏览器假定需要时这些代码仍旧可以从缓存获得,于是它就释放了为JavaScript保留的内存。然而,ASP代码禁止了浏览器缓存JavaScript代码。由于浏览器不能再引用内存中的函数,也不能再从缓存中获取函数代码,所以你就在按Enter键时看到了一个错误。
点击浏览器的刷新按钮时,浏览器将重新从服务器下载函数代码并执行。如果代码不再引用函数,则JavaScript引擎将释放函数。但有一种方法可以强制浏览器在内存中保留函数,即在程序执行期间始终激活对函数的引用。
▲ 早期的/不兼容的浏览器:
毫无疑问,本文所介绍的方法不适合JavaScript版本早于1.2的浏览器。解决办法是编写一个预先进行检查的程序,由该程序检查用户浏览器是否和你的Web应用兼容。
▲ 包截取:
理论上,只要企图窃取代码的人具有足够的决心,他可以在代码向浏览器发送时通过窃取数据包窃取代码。然而,这项工作所要耗费的时间和精力使得它几乎成为不可能的事情。而且,如果你想要获得百分之百安全的传输,还可以使用SSL。使用SSL唯一的缺点在于应用只能在支持SSL的浏览器上运行。
■ 小结:
“混合ASP”技术的应用当然不会局限于ASP和JavaScript源文件。在理论上,它可以在许多服务器端脚本语言环境中应用,比如CGI或者PHP。此外,这种技术理论上还可以用于保护其他文件,如图形、声音和文档。例如,“混合ASP”文件完全可以起到图形文件的作用,具体方法是先验证请求的起源,向浏览器发送正确的内容类型标识,然后从SQL数据库提取并发送BLOB字段的图形文件。它在这方面的应用可以说是没有止境的。
在未来的许多年里,JavaScript和DHTML仍将继续发展,并继续作为一种重要的Web开发工具而存在。W3C有望认可客户端编程工具的价值和重要性,并为了保护它而制定一个标准。
传统保护技术
众所周知,Web本质上是一种不安全的媒介。当用户访问Web应用或者打开Web页面时,所有客户端的代码(HTML,JavaScript源文件以及CSS样式)一般都要下载到客户端缓冲区。用户只需点击一下“查看源文件”就可以查看、分析和复制这些代码。
MSDN摘录了Wrox《Instant JavaScript》一书的部分内容,它指出了保护JavaScript代码的几种方法,具体请参见这里。
客户端JavaScript代码保护方法主要可以分成如下几类:
a)Microsoft的方法:Microsoft通过发布Windows Script Engine Version 5.0来解决客户端源代码保护问题。源代码通过一个ActiveX层编码(不是加密)。请参见Script Encoding with the Microsoft Script Engine Version 5.0。
这种方法的缺点是经过编码的代码只有IE 5.0+才能解码,而且他们坦率承认编码过程并非简单易行。如果你使用的是其他浏览器(包括IE浏览器的早期版本),你就不能通过浏览器访问脚本代码。
b)模糊代码(Code Obfuscation):一些共享软件,比如Jammer以及JMyth,企图通过让代码变得难于阅读、让变量名字变得杂乱去防止有人偷窃JavaScript代码。这种方法的缺点在于,任何有决心的程序员都能够用全局搜索和替换工具轻松地打破这种保护,因为这只需把那些含义模糊的变量名字改成含义明确的变量名字即可。关于JAMMER的更多说明,请参见这里。
c)加密:有许多方案、工具能够有效地加密JavaScript代码。加密客户端JavaScript代码最主要的问题在于用来解密的脚本代码往往很容易取得,导致对代码实施反向工程非常容易。显然,这种方法不能阻止任何认真的程序员获取源代码。虽然我们可以用Java作为加密和解密过程的中间工具,但遗憾的是,Applet会给Web页面增加不必要的额外负荷,而且它会因为浏览器所用Java虚拟机版本的不同而无法正常运行。相对而言,DHTML却意味着快速、小巧、通用和可移植。
一种新方法
在试验WML(Wireless Markup Language)时,我想到了一种保护客户端源代码的新方法。在基于ASP的WML页面中,服务器端代码会有如下内容:
< % Response.ContentType = "text/vnd.wap.wml" % >
< ?xml version="1.0" encoding="iso-8859-1"? >
< !DOCTYPE wml PUBLIC "-//WAPFORUM//DTD WML 1.1//EN"
"http://www.wapforum.org/DTD/wml_1.1.xml" >
< wml >
......
可以看到,我们首先发送了一个WML头,使得无线浏览器认为该ASP页面实际上是一个WML页面。这种技术同样可以用来保护JavaScript源文件(.js文件)。
Netscape随着JavaScript 1.2的发布引入了对JavaScript源文件的支持。大多数支持该版本JavaScript的浏览器都支持JavaScript源文件(Internet Explorer 3.0+,Netscape 3.0+以及Opera 5.0)。动态HTML(DHTML)由JavaScript和CSS混合构成。CSS样式使得开发者能够自由地在浏览器窗口中表现各种页面元素,而JavaScript则提供了控制浏览器本身的必要功能。JavaScript是DHTML的关键组成部分。
下面我们通过例子来说明这种新的DHTML源代码保护方法。这个例子涉及三个文件:index.asp,js.asp以及global.asa。global.asa定义了一个auth会话变量,该变量用于验证请求JavaScript源文件的页面起源是否合法。这里选择使用会话变量的原因在于它用起来比较方便。
global.asa
Sub Session_OnStart
Session("auth") = False
End Sub
我曾经试过用HTTP_REFERER系统变量来验证发出请求的页面起源是否合法,后来发现这个变量可以通过telnet伪造,而且某些浏览器未能在运行时正确地显示出HTTP_REFERER变量。
index.asp
< % Session("auth") = True
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
% >
< html >
< head >
< title >测试页面< /title >
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
< /head >
< body >
< script language="Javascript" >test();< /script >
< br >
< a href="index.asp" >reload< /a >
< /body >
< /html >
下面我们来分析一下index.asp。首先,程序把auth会话变量设置成了“true”,它表示请求.js文件的页面应该被信任。接下来的几个Response调用防止浏览器缓存index.asp页面。
一般地,在HTML文件中调用JavaScript源文件的语法如下:
< script language="Javascript" src="yourscript.js" >< /script >
但在本例中,我们调用的却是一个ASP页面而不是JavaScript源文件:
< script language="Javascript" type="text/javascript" SRC="js.asp" >< /script >
如果要遮掩应用正在请求ASP页面这一事实,你可以把js.asp改名为index.asp(或者default.asp),然后把这个文件放到单独的目录之中,比如“/js/”,此时上面这行代码就改为:
< script language="Javascript" type="text/javascript" SRC="/js/" >< /script >
这几乎能够迷惑任何企图获取JavaScript源文件的人了。不过,请不要忘记在IIS服务器配置中正确地设置默认页面文件的名字。
js.asp
< %
IF Session("auth") = True THEN
Response.ContentType = "application/x-javascript"
Response.Expires = 0
Response.Expiresabsolute = Now() - 1
Response.AddHeader "pragma","no-cache"
Response.AddHeader "cache-control","private"
Response.CacheControl = "no-cache"
Session("auth") = False
% >
function test(){
document.write('这是javascript函数的输出.');
}
< %ELSE% >
< !--这些代码受版权保护。所有权利保留-- >
< %END IF% >
下面我们来分析一下js.asp如何进行验证以及发送JavaScript代码。程序首先检查会话变量auth,看看请求的起源是否合法。如是,则关闭浏览器缓存,重新设置会话变量,然后向浏览器发送JavaScript代码。如果对js.asp的请求不是来自可靠的起源,会话变量auth是false,程序只发送一个带有版权声明的空白页面。
其结果是,如果用户企图下载JavaScript源文件或者在另一个网站上使用JavaScript源文件,他得到的只是一个空白页面。这样,我们也就实现了对谁可以访问DHTML源文件的控制。
如果要在Web页面中保护页面实际内容的HTML代码,你可以在js.asp文件中创建一个函数,如下所示:
function html(){
document.write('< html >< body >页面内容< \/body >< \/html > ');
}
然后,主页面只需简单地调用一下html()即可构造出Web页面。这种页面只有在用户启用了浏览器的JavaScript支持之后才会显示。如果用户查看这种页面的源代码,他看到的只有一个函数调用,而不会看到函数调用所返回的源代码。
这种表现出两种(或更多)不同类型文件特征的ASP可以称为“混合ASP”。下面是JavaScript/ASP混合文件的一些特点:
●JavaScript源文件直接发向浏览器,未经缓存。
●文件经过必要的验证,防止了用户下载源代码。
●最终用户不能直接访问源代码。
上面的代码已经在Windows 98、Windows NT平台的Personal Web Server以及IIS 4上进行了测试,在下列浏览器上代码均能流畅地运行:Netscape 4.7,Internet Explorer 5,Netscape 6以及Opera 5.0。
局限
和任何其他技术一样,本文所介绍的技术也有其固有的局限。
▲ 会话变量:
在上面的例子中,我们使用会话变量验证JavaScript源文件调用的起源。如果网站的访问量非常高,这可能不是进行验证的最好方法。
每次用户访问Web页面或Web应用时都要创建一个会话变量。服务器保持会话唯一标识符的默认时间是20分钟。如果服务器同时要为大量访问者维持状态信息,你可以想象出服务器的负载会有多高。
解决这个问题主要有两种方法:
●在服务器上把会话超时时间设置得尽量小。此外,当代码已经发送给浏览器之后,调用Session.Abandon释放会话状态信息。这种方法适用于中小流量的网站。
●对于高流量的网站,建议通过GUID/数据库结合维持会话状态的方法进行验证。
▲ 内存分配:
大多数基于Mozilla的浏览器都用Spidermonkey JavaScript引擎解释执行JavaScript。这个引擎的优点包括:以解释方式执行代码(与编译方式相对应),动态垃圾收集机制(换句话说,自动释放内存空间避免内存漏洞吞噬计算机资源)。
试试下面这个操作:运行上面的例子。函数执行之后,进入URL地址栏,选中URL并敲Enter,你可以看到此时函数并不执行,浏览器显示了一个JavaScript错误。然而,如果你点击浏览器的刷新按钮,函数将正常执行。
下面是产生这种情况的原因:JavaScript函数执行之后,由于浏览器假定需要时这些代码仍旧可以从缓存获得,于是它就释放了为JavaScript保留的内存。然而,ASP代码禁止了浏览器缓存JavaScript代码。由于浏览器不能再引用内存中的函数,也不能再从缓存中获取函数代码,所以你就在按Enter键时看到了一个错误。
点击浏览器的刷新按钮时,浏览器将重新从服务器下载函数代码并执行。如果代码不再引用函数,则JavaScript引擎将释放函数。但有一种方法可以强制浏览器在内存中保留函数,即在程序执行期间始终激活对函数的引用。
▲ 早期的/不兼容的浏览器:
毫无疑问,本文所介绍的方法不适合JavaScript版本早于1.2的浏览器。解决办法是编写一个预先进行检查的程序,由该程序检查用户浏览器是否和你的Web应用兼容。
▲ 包截取:
理论上,只要企图窃取代码的人具有足够的决心,他可以在代码向浏览器发送时通过窃取数据包窃取代码。然而,这项工作所要耗费的时间和精力使得它几乎成为不可能的事情。而且,如果你想要获得百分之百安全的传输,还可以使用SSL。使用SSL唯一的缺点在于应用只能在支持SSL的浏览器上运行。
■ 小结:
“混合ASP”技术的应用当然不会局限于ASP和JavaScript源文件。在理论上,它可以在许多服务器端脚本语言环境中应用,比如CGI或者PHP。此外,这种技术理论上还可以用于保护其他文件,如图形、声音和文档。例如,“混合ASP”文件完全可以起到图形文件的作用,具体方法是先验证请求的起源,向浏览器发送正确的内容类型标识,然后从SQL数据库提取并发送BLOB字段的图形文件。它在这方面的应用可以说是没有止境的。
在未来的许多年里,JavaScript和DHTML仍将继续发展,并继续作为一种重要的Web开发工具而存在。W3C有望认可客户端编程工具的价值和重要性,并为了保护它而制定一个标准。
- 没有相关文章
- 没有评论