使用現成的Ajax開發框架，究竟安不安全？

本報內容由 iThome online 提供　每週二∼六出刊.2007.10.04

iThome產品技術報 下載PChome免費撥接 免費電子報 有料電子報 個人電子報 使用現成的Ajax開發框 ... iThome飛越六周年 本期目錄     •有限制才會有創新     •使用現成的Ajax開發框架，究竟安不安全？     •探索產生物件的技巧(7)避免時效性不高的重複性動作     •周邊裝置控管軟體－GFI EndPointSecurity 3.0   • 1012(五)高科技製造IT運籌研討會，產官學專家齊聚   • 讓你IQ直達376的秘密﹗   • 資策會『產業分析暨新市場開發實務』   • ITIL V2 Manager是取得V3 Diploma資格的最快途徑   電子報最新消息 • 歡愉的肉體感官盛宴   ♥為你們的性生活增添更多活力♥ • 今年有機會上看萬點   謝金河：從新變化找商機。台幣升值，台股機會大！ • 大學考試中心加考作文   你家小孩的作文能力需要加強嗎？ 專欄     有限制才會有創新 我常聽老一輩的人講，經營企業就是要有堅持。堅持就是一種限制，為了達成堅持的原則與目標，就要用大大小小的創意來解決問題，讓企業的產品與服務能夠在堅持的框架之內完成。 吳俊瑩╱iThome電腦報技術主筆 創新需要有自由才能展現？這個想法我問過很多人，大家都說：「是的」，需要有一個開放的環境，讓大家在舒服的空間裡面，就可以孕育出新的點子與想法。不過，我還是覺得很奇怪，《哈利波特》的作者J.K.羅琳，不就是在窮困潦倒的時候創作出《哈利波特》？美國著名的「車庫創業」，不也是在破爛的環境中完成令人驚奇的作品？大多數公司在推行創新的時候，難免都只流於開放表面的福利，但是，卻沒有注意到，這樣對於企業的創新一點幫助也沒有。 成本是創新的第一道限制。如果沒有成本的限制、或者堅持，工程師並不會費盡心思想出各種方式來完成產品。理所當然的事情，就沒有創新的成分，既然要能創新，就必須要擋住理所當然的那一條路，才能另闢蹊徑。中國的玩具很便宜，我們都認為是人工便宜，卻沒有注意到，Made in China之所以便宜，是因為他們動腦筋想辦法用低成本的方式來完成。 有障礙就等於有門檻，如果我們所謂的創新，是大家都做得到的事情，那就只能叫做Common Sense。 全文>> ▲TOP 使用現成的Ajax開發框架，究竟安不安全？ 雖然使用現成的Ajax開發框架，能加快新一代網頁應用程式開發速度，但使用這些框架，日後會不會帶來安全上的問題？ Ajax已經是現在網站設計的顯學，在Google、Yahoo！這些網站許多的服務上，都能看到應用Ajax帶來的方便性，像是自動建議選字或是Outlook的Web郵件等。因此，許多網站也想導入Ajax。 不過重頭學Ajax速度太慢，許多開發人員便紛紛找尋現成Ajax框架作為解決方案，但是心裡又不免擔心，Ajax似乎也有一些潛在風險？ 做好後端把關，風險大為降低 首先我們要先了解的是Ajax究竟有哪些安全上的風險。所謂Ajax，最狹義的說法是指非同步傳輸的溝通方式，藉由XMLHttpRequest這個瀏覽器物件，處理用戶端與伺服器端資料交換的過程。後來Ajax也進一步包含操作CSS與DOM（文件物件模型）呈現豐富效果的技巧。 不管是狹義或廣義，大多數Ajax技巧使用的是JavaScript語法，由於JavaScript語法屬於用戶端的程式語言，它的一大特性就是程式碼會隨著頁面下載到使用者的電腦中。不像是PHP、ASP這類伺服器端的程式語言，程式在伺服器上執行，前端看不到原始碼，相反地JavaScript的變數宣告、程式邏輯等都攤開在使用者面前，有人便擔心如此一來會增加被攻擊的機會。 全文>> ▲TOP 探索產生物件的技巧(7)避免時效性不高的重複性動作 一個點擊網站首頁的動作，可能引發資料庫執行多筆的查詢。事實上，資訊的變化並不一定很快速，重新查詢的代價卻十分沈重。因此，我們需要物件快取，節省耗費成本的動作。 不論是泛Factory族系的設計模式、Singleton，或者Object Pool，都是透過一個間接的角色或機制，封裝產生或取得物件的過程。應用泛Factory族系設計模式時，每次都重新產生新的物件，但運用Singleton及Object Pool時則不然。 運用Singleton，從頭到尾頂多只產生一份物件實體，而運用Object Pool時，雖然有可能產生多份實體，但是使用自Object Pool中取出的物件時，不一定會取出全新製品，也有可能拿到回收再製品。這意謂著用戶端在使用物件時，並不在乎所拿到的物件，究竟是不是剛產生的。只要能滿足需求，就算是二手貨，沒有什麼分別。 快取的時機──反覆高成本的虛工 就跟現實世界的資源回收再利用一樣，回收使用過的物件，避免重新製造物件，是為了節省成本。我們可以應用Object Pool管理那些產生或清理的成本高昂、同時可重複使用的物件。 透過物件快取，反覆運用特定狀態的物件 我們應該使用Object Pool，避免重複產生DataSet的代價嗎？當然不，使用自Object Pool中取出的物件前，該物件會被設置在某個初始（像是全新未使用）的狀態，但這並不是我們想要的。 全文>> ▲TOP 產品評測     周邊裝置控管軟體－GFI EndPointSecurity 3.0 EndPointSecurity支援的裝置類型相當全面，除了管理用戶端電腦本機上的軟碟機、光碟機之外，也包含連接USB埠的各種裝置，管理者可從產品所提供的報表資料中，了解員工使用各種周邊裝置的頻率。 GFI EndPointSecurity的功能，主要是管理連接USB埠的各項裝置，以及用戶端主機上的光碟機、軟碟機等儲存裝置，像是隨身碟、藍牙、印表機、PDA、掃描器，以及有線、無線的USB網卡等皆能透過EndPointSecurity的主控臺介面控管，禁止員工私自將機密資料攜出企業內部，或者防止含有危險內容的檔案利用這些周邊滲入內部網路。 EndPointSecurity需要在用戶端電腦安裝代理程式（Agent），以便將設定好的規則落實到端點執行，資訊人員可以透過一組具備足夠權限的帳號密碼，將代理程式從EndPointSecurity主控臺所在的電腦派送到網芳群組，或者是網域當中的其他電腦。 企業內部的電腦可依需求區分為多個使用群組，並且各自套用不同的周邊管理規則。 彈性化的權限設定 依照端點的角色不同（如伺服器、桌上型電腦等），我們可以將所有電腦區分成多個群組，並且套用不同的規則加以管理，藉此提高管理上的彈性。例如為了管理方便，伺服器所在的群組可以連接USB介面的儲存裝置，以便安裝軟體，但是員工電腦的群組，為了不讓資料外洩，因此就不能加以開放。進行初次設定時，EndPointSecurity提供設定精靈可以在短時間內完成匯入電腦的動作，並且從遠端安裝代理程式。 全文>> ▲TOP 前期文章 全部歷史文章 出刊日期 出刊主題 2007-10-03 IT命名學(3)命名不是百無禁忌 2007-10-02 下個10年，服務業的e化大挑戰 2007-09-29 彈性分配，增加儲存利用率 2007-09-28 思科首推802.11n，評估建置的時機到了嗎？ 2007-09-27 IT命名學(2)「適當」的創意有加分效果 感謝你訂閱這份電子報，下列電子報或許你會喜歡，請勾選    PC uSER密技偷偷 ...    PC Office電子報    Mobile01科技新知 ...    D．FUN數位享樂誌    數位時代    PhoneDaily手机報    iThome IT管理報    iThome每日新聞報 我要訂閱這份報紙» 我要取消這份報紙» 訂報說明 ．本電子報內容由 iThome online 提供 ．關於內容有任何疑問，或欲轉載請聯絡 PChome ePaper 電子報版權所有，關於電子報發送有任何疑問，請聯絡 客服 台北市敦化南路二段105號11樓 ，TEL：(02)2708-8038，FAX：(02)27094848。

． 刊登廣告． 個人連結． 企業合作． 隱私權聲明． 關於PChome． 徵人 網路家庭版權所有 Copyright PChome Online 版權所有，轉載必究