Web聚合运用跨域通信机制.docVIP

第 PAGE 第 PAGE 1 页 共 NUMPAGES 1 页 免责声明：图文来源网络征集，版权归原作者所有。若侵犯了您的合法权益，请作者持权属证明与本站联系，我们将及时更正、删除！谢谢！ Web聚合运用跨域通信机制 1引言 在传统的Web1.0应用程序中，每个Web站点相互隔离，用户访问Web站点仅能得到来自本站点的信息。即使需要访问其他站点，也是通过编辑拷贝已存储在本地的信息或者用户调换网站地址的方式来访问内容，而不是直接访问信息源数据。在新的Web2.0潮流之下，希望网站之间打破隔离进行数据融合，使之能够共享信息。在这种背景下，聚合型网站设计方式应运而生，这就是新型的Web应用程序——聚合应用(mashupapplication)。Mashup这个名词来源于流行音乐，将不同风格的音乐拼接，混杂在一起，构成自己独特的新曲子；Mashup在Web环境中代表着整合不同来源的内容以提供交互式体验的Web站点或应用程序[1]。利用其他网站开放应用接口所提供的内容进行混搭，从而创造出独特的、具有新价值的Web应用。Mashup把不同源或站点的信息进行融合以保证信息共享，打破站点之间“孤岛林立”的现状，由此浏览Web站点更加直观便捷，用户体验更加富。典型的Mashup应用当属Housingmap，它将第三方网站Craigslist的租房信息和GoogleMaps提供的地图信息有机地组织起来，让租房的信息直观显示在地图上，创造出一个崭新的、互动性强的房屋搜寻站点[2]。根据以上实例背景，本文建立一个Housingmap聚合应用模型，由电子地图与租房信息2部分组成，如图1所示。传统的Web浏览器安全机制遵守同源策略(SOP,same-originpolicy)。同源策略规定JavaScript(JS)代码只能访问其来自同源服务器上的数据，把来自不同源的内容相互分离。这种策略给JS提供安全保障的同时限制了基于JS的跨域访问。Mashup是对多个站点资源的优化组合，需要从多个分散的站点获取信息源，而不要求各个站点之间相互信任。传统同源策略过渡的安全设计没有考虑多个站点之间交互时整体的快速通信需求，也没考虑新的信任模型下的安全问题。如图1所示，电子地图与租房信息的数据分别来自www.map-和www.housing-2个不同源的网站，在现有的同源策略下是不能够相互访问和通信。怎样整合相互独立的第三方数据、实现不同源数据之间的通信是聚合应用需要解决的问题。另外，恶意攻击者可能重写来自其他源的网页属性，例如来自www.map-的脚本可能重写www.housing-网页的location属性，操纵原页面跳转到某个恶意的页面，而导致框架钓鱼攻击。如何保证不同源数据间通信的安全性与完整性是聚合应用需要解决的另外一个问题。针对上述问题，研究人员在聚合应用跨域交互方面做了大量研究，其中，文献[3]利用内嵌框架(iframe)实现客户端通信。这种方法的缺点是不但很难保证消息的完整性，而且攻击者很容易进行框架钓鱼攻击。文献[4]提出了一种跨域通信方案，兼容主流浏览器。聚合应用能与一个或多个网络服务应用交互，交互过程包括2个阶段：设置阶段(建立中间帧，非信任帧，传输JS通信对象)与数据交换阶段。文献[5]提出了一种基于值的跨域通信机制，对象序列化后进行传输。其中，分批处理数据减少了整合者与小部件之间信息交换次数，由此提升了系统性能。美中不足的是，如何解决跨域通信带来的安全问题以及如何共享JS对象还有待进一步研究。本文在研究相关工作的基础上提出了一种适合于聚合应用的安全跨域通信(SCDC，securecross-domaincommunication)系统。首先，从各个不同的域入手，同一信任域的内容封装为组件表示，建立聚合应用的安全组件；其次，利用分层通信栈实现域间通信，即聚合应用与组件间通信；最后，利用封装技术安全实现组件间细粒度对象共享。该方案具有安全可靠性强、效率高、支持对象共享的特点，旨在为聚合应用提供一种安全可靠的跨域通信系统。 2相关跨域通信方案 跨域，简单的理解就是在JS同源策略的限制，域名下的JS无法操作或是域名下的对象。跨域通信面临着许多挑战，下面分别介绍3种传统处理跨域的方案：服务器端代理、动态创建脚本、段标识通信。跨域请求发送至本地服务器端，然后由服务器端代理请求相应的数据发送到浏览器端。在服务器端代理的帮助下，浏览器端所有请求发送至同一域，实现了跨域通信。此方案适用于几乎所有的跨域访问，支持各种类型格式的数据，但是经过了中间代理，延迟高、开发工作量大，并且加重了本域服务器的负荷。至于动态创建脚本方案，虽然浏览器禁止跨域访问，但仍可以引用其他域的JS文件，由此能够通过创建scr