一、 引言

　　在XMLHttpRequest对象和AJAX给用户和研发者带给巨大好处的同时,也许更有一些问题您没有考虑到-但是的确到了值得引起每个人注意的时候了。

　　甚至很讨厌的人也都喜欢XMLHttpRequest，因为他提供给程式员真正梦想的功能。也正是因为有了这样的新技术，Web应用软件开始变得具备象桌面应用软件相似的行为。如今，问题总是象"假定为……"那样地简单，这把幼稚的终端用户从需要了解服务端、客户、回寄和提交按钮-"提交？提交给什么东西？"-等一系列问题的苦海中解脱出来。

　　最近,无数可怕的案例爆炸式出现在Web上，他们充分说明为什么远程脚本(或称"AJAX"，假如您喜欢的话)是自从单像素点gif技术以来最伟大的事情。事实上,成串的酷极的、有用的应用软件正日益增长,象站点Flickr,Google Maps,The WebORB Presentation Server等所宣传的那样。

　　这些站点和另外许多地方大肆宣传AJAX的能力。公正地说,这种技术在提高在线操作的质量方面的确有相当的潜力来。然而,尽管他有许多的长处，但是这个神圣的Web通讯大杯中嗅起来仍然有一股奇怪的味道；就象摆动在我们面前的啤酒和巧克力,仍有一个邪恶的方面存在于其中-表面上看起来是多么地纯洁和天真。

　　这种潜在的邪恶存在于用户熟悉的操作界面背后的重要的功能性差距之中。您们当中许多人可能已使用互连网近10年了，并且您知道他怎样工作：您到处点按鼠标，填充表单，修改您的输入；当做完任何这些，您能够点击提交按钮。您们都了解这些精华经验-他们从因特网的一代传递到新的一代,如:"不要点按提交按钮两次-否则，表单可能要提交两次"或"等待稍微长一些时间，他正在处理"或"在您提交了表单后,不要点按’向后’按钮"，等等。

　　但是既然现在AJAX已登堂入室，那么您能够把基本知识抛出窗外。简直是"什么东西都能够"-突然间出现一种新的可被跟踪的数据-能够在任何时候发送出去，而无需用户的任何了解，甚至用户还不了解这竟然是可能发生的。每一次击键，每一个鼠标移动，每一下点按鼠标，每一次停顿，都能被捕获并发送到Web服务器，而您对此无能为力。

　　二、 XMLHttpRequest:利和弊

　　就象许多技术存在利弊相同，产生这种技术的目的是为了利用其长处。直到如今，XMLHttpRequest带给人们如此多的长处，诸如不需回滚的输入校验，文本区域的拼写检查连同Gmail等等，简直几乎为人们捧之为神圣。基于AJAX技术创建的接口使用起来很有趣，甚至编码更有趣味。简直很难令人相信，这样一种神奇的技术竟然能够做错事情。

　　但是，即使还没有发现存在巨大的安全漏洞，该XMLHttpRequest也有可能因为其外在的优雅而失败。他很可能会失败在"用户轮廓图"-用于更好的描述之目的-的应用之中。当前,用户轮廓图帮助Web站主侦探趋势,跟踪网页浏览习惯并帮助消除使用性问题。但是直到现在，研发人员还只能分析寄回的数据-用户决定让服务器取得的数据并为提交后得到处理而高兴。

　　但是通过一种微秒的手段，这种能量平衡会发生易位。通过使用AJAX技术，一个用户的行为能够被持续地并小心地监控。因为他能被做,所以他将被做；这就带给人们一个相当头疼的问题，而不但仅是浪费带宽、成兆的垃圾信息连同更慢的网页装载次数的问题。

　　设想一下，这里仅是举例说明问题，您把一部新购买的iPod掉到地上去了，结果他停止了工作。抱着希望得到免费的替换的想法，您发了一封电子邮件给Apple公司的售后服务部，信中说："我刚刚买了一个新牌子的iPod。我不小心把他掉到了楼梯上，他突然停止工作了。"之后，您决定删去第二句以支持您的理由。太晚了！假如该网站使用了AJAX技术,您的反映可能早就被杀死在了您的抱怨桌前！

　　或-一个更恶意破坏性的例子-请考虑这种情况：大多数人都有一个或两个用户名/口令组合以用于他们的"并不重要"的站点，如新闻站点、博客、论坛等。他们可能更有几个保留的这种组合以用于更敏感的网站-银行业务，Web邮件和工作帐号等。在一个给定页面中输入不正确的登录细节是很普通和极易犯的错误。虽然他们以前形成的习惯的影响应对此负主要责任，但是在人们点击提交按钮前常常是已意识到他们所做的事情的。

　　不幸的是，一个AJAX击键记录程式实现起来相当麻烦。使用如此的一个击键记录程式,就能够用代码来收集不正确的登录尝试，然后针对一系列"重要的"站点对之进行试验-当然，也能够使用XMLHttpRequest对象。

　　三、 "恶意"暗示

　　公平地说,上面引用的大多数的"恶意"应用软件都能被合理地加以处理，即使在XMLHttpRequest技术出现以前。的确，request对象是一种相对于以前的IFrame技术更为优雅的成功提交表单数据的方法。但是，XMLHttpRequest以一种更为自然的方式工作，这种方式简直能够能使客户端和服务器端的交互差别逐渐消失。

　　具备讽刺意味的是，直到最近，随着Firefox Web浏览器的不断流行，才使得较多用户真正了解到能够由Web客户端储存和控制的信息的深度和广度。随着广泛采用象Greasemonkey，Web研发者扩展连同cookie编辑器这样的工具，人们比以往任何时候更为确信，假如问题发生在客户端，那么责任一般应归咎于该用户。

　　但是现在,即使象我们这样狂妄的人也不再只是右击鼠标，看一下源代码，然后就能确信正在发生的事情了。请考虑下面的OnReadyStateChange JavaScript语句，运行他是为了响应一个XMLHttpRequest:

xmlReq.onreadystatechange =
{
if( xmlReq.readyState == 4 )
{
eval( xmlReq.responseText );
}
}

　　上面的代码执行包含在来自于XMLHttpRequest的响应中的JavaScript代码。换句话说,有可能出现这种情况：即使一个页面加载完毕，也有可能在后台再进行添加或修改JavaScript函数和代码！因此就算您观察该页面代码的源代码-他可能发送了键击或鼠标移动事件到Web服务器,您也无法确信您所见的代码是当前执行的唯一代码。把这些特征和一些令人胆战心惊的困惑结合起来，那么您能够看到，恶意目的和XMLHttpRequest对象相结合，怎么不能实现Web客户的信息窃取！

　　四、 还不确信？

　　您还不感到害怕并因此而愤怒吗？还不准备愤起并删去您的浏览器中的XMLHttpRequest代码吗？那么，好，也许本文强势的措词论证会吓倒了您；那么在游戏"Fonzie寻宝记"（The Search For ’s Treasure。译者注：在GOOGLE中输入这几个关键词，您肯定能找到这个在线文本游戏，本人没有深入试验。难道这个小东西那么可爱的面孔下竟然埋伏着上面所述的那么恐怖的……）中-您能够救出Fonzie吗？

　　通过使用很有艺术的命令行接口,穿过充满文本的门厅寻找丢失的Arthur ’Fonzie’ Fonzarelli宝藏。祝您幸运，但是请记住…虽然他看上去就象无危害的客户交互-您每作四次移动，该游戏通过XMLHttpRequest对象发送一个请求到服务器上并保存您的移动。永远记住：不要做一个印刷工（Don’t make a typo）；不要尝试一些愚蠢的东西如"eat jukebox"；不要在游戏中输入一个用户名和口令字；否则……