网站建设公司分享关于网站页面安全的解决方案。网站建设公司提醒网站页面安全主要包括网页源代码的保护与页面文件不被非法访问和篡改(如ASP文件)。众所周知,Web本质上是一种不安全的媒介,当用户访问Web应用或者打开Web页面时,所有客户端的代码(HTML、JavaScript源文件及CSS样式)一般都要下载到客户端缓冲区。用户只需单击“查看源文件”就可以查看、分析和复制这些代码。
网站建设公司资深安全工程师提醒如果网站的ASP文件被非法访问或篡改,就会使网站毫无安全性可言。
1.网站建设关于页面安全之用JavaScript技术保护代码
JavaScript 是一种脚本描述语言,它可以被嵌入HTML文件之中。通过JavaScript可以做到响应浏览者的需求事件(如form的输入),而不需要网络来回传输资料。
采用JavaScript技术来保护网页源代码主要有三个步骤。
(1)建立框架。把要保护的页面设置成框架,即将页面采用框架结构的方式。若页面并未使用框架结构,且不需要使用框架结构,可采用“零框架”技术(即将页面分为左右两帧,左帧的宽度为1,右帧为原页面)。采用此方法后,浏览者在用工具栏中的“查看”|“源代码”项时就无法直接得到页面代码,而仅能得到框架主文件的代码。
另外,可利用左帧文件加载一些网页的高级应用,如背景音乐、网页计数器、cookie应用等。
本步骤的代码如下:
将该文件存为主文件index.htm,建立一个空文件left.htm(左框架文件),原页面文件则另存为index.html(与主文件名仅在扩展名上略有不同)。
(2)屏蔽鼠标右键。它的显示源文件功能即在所需保护的页面文件(上例中为index.html文件)中加入以下代码(当右键被单击时将出现图8.1所示提示框)。
(3)设置循环读取。为了防止一些了解网页编写语言的人通过框架主文件中的链接,手工找出被保护页面后获得源代码,还应在被保护页面中加入以下代码。
这段代码将提供跳回功能,当浏览器试图单独读取该文件时,将自动返回该文件,使浏览器循环读取该文件,无法看到该页源文件,但在框架文件中打开时能正常读取,从而起到保护该页面的作用。
在完成以上三个步骤后,该主页源代码将不能被浏览者在网上获得。
2.网站建设关于页面安全之用ASP技术保护代码
ASP是微软开发的服务器脚本环境,它具有在服务器直接执行,不会被传到客户端浏览器的特点,因而可以避免所写的源程序被他人剽窃,提高了程序的安全性。在动态HTML(DHTML)中,JavaScript是DHTML的关键组成部分。用ASP来保护JavaScript代码,可以达到较高的安全性。
下面通过案例来说明这种源代码保护方法。
这个案例涉及三个文件:index.asp,js.asp和global.asa。global.asa定义了一个auth会话变量,该变量用于验证请求JavaScript源文件的页面起源是否合法。这里选择会话变量的原因在于它使用起来比较方便。
下面来分析index.asp。首先,程序把auth会话变量设置成了“True”,它表示请求.js文件的页面应该被信任。接下来的几个Response调用防止浏览器缓存index.asp页面。
在HTML文件中调用JavaScript源文件的语法如下:
但在本例中,我们调用的却是一个ASP页面而不是JavaScript源文件:
如果要遮掩应用正在请求ASP页面这一事实,可以把js.asp改名为index.asp(或者default.asp),然后把这个文件放到单独的目录之中,如“/js/”,此时上面这行代码就改为:
这几乎能够迷惑任何企图获取JavaScript源文件的人了。不过,不要忘记在服务器配置中正确地设置默认页面文件的名字。
下面分析js.asp如何进行验证和发送JavaScript代码。程序首先检查会话变量auth,看看请求的起源是否合法。如果是,则关闭浏览器缓存,重新设置会话变量,然后向浏览器发送JavaScript代码。如果对js.asp的请求不是来自可靠的起源,会话变量auth为false,程序只发送一个带有版权声明的空白页面。如果用户企图下载JavaScript源文件或者在另一个网站上使用JavaScript源文件,得到的只是一个空白页面。这样,也就实现了对谁可以访问DHTML源文件的控制。
如果要在Web页面中保护页面实际内容的HTML代码,用户可以在js.asp文件中创建一个函数,如下所示:
然后,主页面只需要简单地调用html()即可构造出Web页面。这种页面只有在用户启用了浏览器的JavaScript支持之后才会显示。如果用户查看这种页面的源代码,看到的只是一个函数调用,而不会看到函数调用所返回的源代码。
好了,
深圳网站建设公司本文关于“网站建设公司分享关于网站页面安全的解决方案”就分享到这里。如果您需要深圳网站建设公司为您提供企业门户,政府网站,高端电子商务网站的建设,请咨询我们网站在线客服或者拨打我们建站技术客服联系电话,为你提供详细高端网站建设解决方案。谢谢关注,博纳网络编辑整理。