巧用ASP技术保护DHTML源代码

DHTML使得我们能够开发出功能强大的web应用客户端，它具有跨浏览器兼容、可交互和可移植等特点。它的缺点是用户能够直接查看javaScript代码。本文介绍如何运用ASP技术保护DHTML代码，防止有人窃取你的DHTML代码。
　　传统保护技术众所周知，Web本质上是一种不安全的媒介。当用户访问Web应用或者打开Web页面时，所有客户端的代码(HTML，javaScript源文件以及CSS样式)一般都要下载到客户端缓冲区。用户只需点击一下“查看源文件”就可以查看、分析和复制这些代码。
　　客户端javaScript代码保护方法主要可以分成如下几类：
　　a)Microsoft的方法：Microsoft通过发布Windows Script Engine Version 5.0来解决客户端源代码保护问题。源代码通过一个ActiveX层编码(不是加密)。这种方法的缺点是经过编码的代码只有IE 5.0+才能解码，而且他们坦率承认编码过程并非简单易行。如果你使用的是其他浏览器(包括IE浏览器的早期版本)，你就不能通过浏览器访问脚本代码。
　　b)模糊代码(Code Obfuscation)：一些共享软件，比如Jammer以及JMyth，企图通过让代码变得难于阅读、让变量名字变得杂乱去防止有人偷窃javaScript代码。这种方法的缺点在于，任何有决心的程序员都能够用全局搜索和替换工具轻松地打破这种保护，因为这只需把那些含义模糊的变量名字改成含义明确的变量名字即可。
　　c)加密：有许多方案、工具能够有效地加密javaScript代码。加密客户端javaScript代码最主要的问题在于用来解密的脚本代码往往很容易取得，导致对代码实施反向工程非常容易。显然，这种方法不能阻止任何认真的程序员获取源代码。虽然我们可以用java作为加密和解密过程的中间工具，但遗憾的是，Applet会给Web页面增加不必要的额外负荷，而且它会因为浏览器所用java虚拟机版本的不同而无法正常运行。相对而言，DHTML却意味着快速、小巧、通用和可移植。
　　在基于ASP的WML页面中，服务器端代码会有如下内容：
< % Response.ContentType = "text/vnd.wap.wml" % >  
< ?xml version="1.0" encoding="iso-8859-1"? >  
< !DOCTYPE wml PUBLIC "-//WAPFORUM//DTD WML 1.1//EN"  
"http://www.wapforum.org/DTD/wml_1.1.xml" >  
< wml >  
......

　　可以看到，我们首先发送了一个WML头，使得无线浏览器认为该ASP页面实际上是一个WML页面。这种技术同样可以用来保护javaScript源文件(.js文件)。
　　Netscape随着javaScript 1.2的发布引入了对javaScript源文件的支持。大多数支持该版本javaScript的浏览器都支持javaScript源文件(internet Explorer 3.0+，Netscape 3.0+以及Opera 5.0)。动态HTML(DHTML)由javaScript和CSS混合构成。CSS样式使得开发者能够自由地在浏览器窗口中表现各种页面元素，而javaScript则提供了控制浏览器本身的必要功能。javaScript是DHTML的关键组成部分。
　　下面我们通过例子来说明这种新的DHTML源代码保护方法。这个例子涉及三个文件：index.asp，js.asp以及global.asa。global.asa定义了一个auth会话变量，该变量用于验证请求javaScript源文件的页面起源是否合法。这里选择使用会话变量的原因在于它用起来比较方便。
global.asa  
　  
Sub Session_OnStart  
Session("auth") = False  
End Sub

　　过用HTTP_REFERER系统变量来验证发出请求的页面，这个变量可以通过telnet伪造，而且某些浏览器未能在运行时正确地显示出HTTP_REFERER变量。　　　
　　index.asp
< % Session("auth") = True  
Response.Expires = 0  
Response.Expiresabsolute = Now() - 1  
Response.AddHeader "pragma","no-cache"  
Response.AddHeader "cache-control","private"  
Response.CacheControl = "no-cache"  
% >  
< html >  
< head >  
< title >测试页面< /title >  
< script language="javascript" type="text/javascript" SRC="js.asp" >< /script >  
< /head >  
< body >  
< script language="javascript" >test();< /script >  
< br >  
< a href="index.asp" >reload< /a >  
< /body >  
< /html >

　　下面我们来分析一下index.asp。首先，程序把auth会话变量设置成了“true”，它表示请求.js文件的页面应该被信任。接下来的几个Response调用防止浏览器缓存index.asp页面。
　　一般地，在HTML文件中调用javaScript源文件的语法如下：
　　< script language="javascript" src="yourscript.js" >< /script >
　　但在本例中，我们调用的却是一个ASP页面而不是javaScript源文件：
      < script language="javascript" type="text/javascript" SRC="js.asp" >< /script >
　　如果要遮掩应用正在请求ASP页面这一事实，你可以把js.asp改名为index.asp(或者default.asp)，然后把这个文件放到单独的目录之中，比如“/js/”，此时上面这行代码就改为：
      < script language="javascript" type="text/javascript" SRC="/js/" >< /script >
　　这几乎能够迷惑任何企图获取javaScript源文件的人了。不过，请不要忘记在IIS服务器配置中正确地设置默认页面文件的名字。　　
　　js.asp
< %  
IF Session("auth") = True THEN  
Response.ContentType = "application/x-javascript"  
Response.Expires = 0  
Response.Expiresabsolute = Now() - 1  
Response.AddHeader "pragma","no-cache"  
Response.AddHeader "cache-control","private"  
Response.CacheControl = "no-cache"  
Session("auth") = False  
% >  
function test(){  
document.write(这是javascript函数的输出.);  
}  
< %ELSE% >  
< !--这些代码受版权保护。所有权利保留-- >  
< %END IF% >

　　下面我们来分析一下js.asp如何进行验证以及发送javaScript代码。程序首先检查会话变量auth，看看请求的起源是否合法。如是，则关闭浏览器缓存，重新设置会话变量，然后向浏览器发送javaScript代码。如果对js.asp的请求不是来自可靠的起源，会话变量auth是false，程序只发送一个带有版权声明的空白页面。
　　其结果是，如果用户企图下载javaScript源文件或者在另一个网站上使用javaScript源文件，他得到的只是一个空白页面。这样，我们也就实现了对谁可以访问DHTML源文件的控制。
　　如果要在Web页面中保护页面实际内容的HTML代码，你可以在js.asp文件中创建一个函数，如下所示：
function html(){  
document.write(< html >< body >页面内容< /body >< /html > );  
}

　　然后，主页面只需简单地调用一下html()即可构造出Web页面。这种页面只有在用户启用了浏览器的javaScript支持之后才会显示。如果用户查看这种页面的源代码，他看到的只有一个函数调用，而不会看到函数调用所返回的源代码。
　　这种表现出两种(或更多)不同类型文件特征的ASP可以称为“混合ASP”。下面是javaScript/ASP混合文件的一些特点：
　　javaScript源文件直接发向浏览器，未经缓存。
　　文件经过必要的验证，防止了用户下载源代码。
　　最终用户不能直接访问源代码。
　　会话变量：
　　在上面的例子中，我们使用会话变量验证javaScript源文件调用的起源。如果网站的访问量非常高，这可能不是进行验证的最好方法。
　　每次用户访问Web页面或Web应用时都要创建一个会话变量。服务器保持会话唯一标识符的默认时间是20分钟。如果服务器同时要为大量访问者维持状态信息，你可以想象出服务器的负载会有多高。
　　解决这个问题主要有两种方法：
　　在服务器上把会话超时时间设置得尽量小。此外，当代码已经发送给浏览器之后，调用Session.Abandon释放会话状态信息。这种方法适用于中小流量的网站。
　　对于高流量的网站，建议通过GUID/数据库结合维持会话状态的方法进行验证。
　　内存分配：
　　大多数基于Mozilla的浏览器都用Spidermonkey javaScript引擎解释执行javaScript。这个引擎的优点包括：以解释方式执行代码(与编译方式相对应)，动态垃圾收集机制(换句话说，自动释放内存空间避免内存漏洞吞噬计算机资源)。
　　试试下面这个操作：运行上面的例子。函数执行之后，进入URL地址栏，选中URL并敲Enter，你可以看到此时函数并不执行，浏览器显示了一个javaScript错误。然而，如果你点击浏览器的刷新按钮，函数将正常执行。
　　下面是产生这种情况的原因：javaScript函数执行之后，由于浏览器假定需要时这些代码仍旧可以从缓存获得，于是它就释放了为javaScript保留的内存。然而，ASP代码禁止了浏览器缓存javaScript代码。由于浏览器不能再内存中的函数，也不能再从缓存中获取函数代码，所以你就在按Enter键时看到了一个错误。
　　点击浏览器的刷新按钮时，浏览器将重新从服务器下载函