关于ajax的安全问题，语句为$.post("delete.ashx",{"id":id});，如

SQL 注入，但是现在流行的框架都会对GET和POST参数进行转移，查询数据库时参数也会转义，基本上 SQL 注入现在很难入侵。

最主要的攻击手段还是网站程序的漏洞，比如 DEDE 的开源系统，黑客会研究里面的源代码，找到漏洞后，直接对一些 DEDE 网站进行入侵。

黑客可以绕开Ajax验证么

ajax其实就是用javascript访问其他页面然后显示。和你不断点刷新或者“看不清”作用是一样的

怎么通过ajax在后台如何获取前台的数据

你说的获取数据，是主动获取还是被动获取？一般是被动获取，就是后台等着前台通过ajax把数据传过去，然后进行数据处理。主动获取数据的一般是黑客干的

Javasrcipt,Ajax,Jquery用这些技术做了哪些东西，这些技术有什么优点，缺点

JavaScript的优点：

在JavaScript这样的用户端脚本语言语言出现之前，传统的数据提交和验证工作均由用户端浏览器通过 *** 传输到服务器上进行。如果数据量很大，这对于 *** 和服务器的资源来说实在是一种无形的浪费。而使用JavaScript就可以在客户端进行数据验证。

JavaScript可以方便地操纵各种浏览器的对象，可以使用JavaScript来控制浏览器的外观，状态甚至运行方式，可以根据用户的需要“定制”浏览器，从而使网页更加友好。

JavaScript可以使多种任务仅在用户端就可以完成而不需要 *** 和服务器的参与，从而支持分布式的运算和处理。

JavaScript的缺点：

在WWW 上有很多浏览器，如Netscape Navigator,Mosaic和HotJava等，但每种浏览器支持JavaScript的程度是不一样的，支持和不完全支持JavaScript的 浏览器在浏览一个带有JavaScript脚本的主页时，效果会有一定的差距，有时甚至会显示不出来。

当把JavaScript的一个设计目 标设定为"Web安全性"时，就需要牺牲JavaScript的一些功能。这时，纯粹的JavaScript将不能打开、读写和保存用户计算机上的文件。 它有权访问的唯一信息就是它所嵌入的那个Web主页中的信息，简言之，JavaScript将只存在于它自己的小小世界----Web主页里。 AJAX的优点： 1、更大的一点是页面无刷新，在页面内与服务器通信，给用户的体验非常好。

2、使用异步方式与服务器通信，不需要打断用户的操作，具有更加迅速的响应能力。 3、可以把以前一些服务器负担的工作转嫁到客户端，利用客户端闲置的能力来处理 4、基于标准化的并被广泛支持的技术，不需要下载插件或者小程序。 AJAX技术比刷页方式节省带宽的比例换算公式如下：

( 交互次数(刷页交互流量 - AJAX交互量) - (AJAX版首次加增加量) ) / (刷页*交互次数 + 首次加载页面大小)

有一个国外对Ajax技术的试验：Using AJAX to Improve the Bandwidth Performance of Web Applications

①一个10k的页面：AJAX技术，在交互中只刷新网页中部分需要更新数据2-3k，传统的整页刷新模式需要整页重载10k；

②交互次数越多，AJAX应用的带宽节省效果越明显；

③整页刷新模式虽然需要重新载入图片等，Ajax则不用；

在此次条件的试验过程中：ajax技术总计节省了超过61%。远远超过预期的50% 而且随着交互次数增加，节省率还会更高。 AJAX 的更大亮点大概就是页面无刷新了，使用异步模式可以减少用户等待，可以在画面上实现更多的功能更便利的交互以改善客户感受，在技术层面则可以带来更灵活的应用结构组织方式。 AJAX缺点： 1．缺少一个没有标准之争、没有back和history的浏览器 Ajax取消了back按钮，即对浏览器后退机制的破坏。后退按钮是一个标准的web站点的重要功能，但是它没法和js进行很好的合作，这是ajax所带来的一个比较严重的问题。作为一个WEB的用户，我们已经习惯了有 back按钮，这几乎是每个用户共同的习惯，AJAX下点击链接是不Redirect页面，所以不存在后退和前进了，同样，没有后退和前进也就无存找浏览历史纪录了。back和history存在的根本就是url的改变，在AJAX下人们发现不改url也同样能达到内容改变这个酷酷的特点。用过Gmail的知道，Gmail下面采用的ajax技术解决了这个问题，在Gmail下面是可以后退的，但是，它也并不能改变ajax的机制，它只是采用的一个比较笨但是有效的办法，即用户单击后退按钮访问历史记录时，通过创建或使用一个隐藏的IFRAME来重现页面上的变更。但是，虽然说这个问题是可以解决的，但是它所带来的开发成本是非常高的，和ajax框架所要求的快速开发是相背离的。这是ajax所带来的一个非常严重的问题。 2．对搜索引擎的支持不好

3．安全问题 ajax的逻辑可以对客户端的安全扫描技术隐藏起来，允许黑客从远端服务器上建立新的攻击。还有ajax也难以避免一些已知的安全弱点，诸如跨站点脚步攻击、SQL注入攻击和基于credentials的安全漏洞等。 4．语言问题 I) 编写复杂、容易出错 (javascript本是是个轻量级的小东西，现在被强迫重用起来，负担可想而知) II) 冗余代码更多了 （层层包含js文件是AJAX的通病，再加上以往的很多服务端代码现在放到了客户端）

III) 破坏了Web的原有标准 Jquery优点：小，压缩后代码只有20多k（无压缩代码94k）。

Selector和DOM操作的方便：jQuery的Selector与mootools的Element.Selectors.js比较，CSS Selector, XPath Selector（1.2后已删除）

Chaining：总是返回一个jQuery对象，可以连续操作。

文档的完整，易用性（每个API都有完整的例子，这是其它框架现在不能比的），而且网上还有很多其它的文档，书籍。

应用的广泛，包括google code也使用了jQuery。 缺点：由于设计思想是追求高效和简洁，没有面向对象的扩展。设计思路和Mootools不一样。

CSS Selector的速度稍微有些慢（但是现在速度已经大幅提高）

Ajax的优点和缺点？

一、ajax的优点

Ajax的给开发者带来的好处大家基本上都深有体会，如下：

1、更大的一点是页面无刷新，在页面内与服务器通信，给用户的体验非常好。

2、使用异步方式与服务器通信，不需要打断用户的操作，具有更加迅速的响应能力。

3、可以把以前一些服务器负担的工作转嫁到客户端，利用客户端闲置的能力来处理，减轻服务器和带宽的负担，节约空间和宽带租用成本。并且减轻服务器的负担，ajax的原则是“按需取数据”，可以更大程度的减少冗余请求，和响应对服务器造成的负担。

4、基于标准化的并被广泛支持的技术，不需要下载插件或者小程序。

二、ajax的缺点

1、ajax干掉了back按钮，即对浏览器后退机制的破坏。后退按钮是一个标准的web站点的重要功能，但是它没法和js进行很好的合作。这是ajax所带来的一个比较严重的问题，因为用户往往是希望能够通过后退来取消前一次操作的。那么对于这个问题有没有办法？答案是肯定的，用过Gmail的知道，Gmail下面采用的ajax技术解决了这个问题，在Gmail下面是可以后退的，但是，它也并不能改变ajax的机制，它只是采用的一个比较笨但是有效的办法，即用户单击后退按钮访问历史记录时，通过创建或使用一个隐藏的IFRAME来重现页面上的变更。（例如，当用户在Google Maps中单击后退时，它在一个隐藏的IFRAME中进行搜索，然后将搜索结果反映到Ajax元素上，以便将应用程序状态恢复到当时的状态。）

但是，虽然说这个问题是可以解决的，但是它所带来的开发成本是非常高的，和ajax框架所要求的快速开发是相背离的。这是ajax所带来的一个非常严重的问题。

2、安全问题

技术同时也对IT企业带来了新的安全威胁，ajax技术就如同对企业数据建立了一个直接通道。这使得开发者在不经意间会暴露比以前更多的数据和服务器逻辑。ajax的逻辑可以对客户端的安全扫描技术隐藏起来，允许黑客从远端服务器上建立新的攻击。还有ajax也难以避免一些已知的安全弱点，诸如跨站点脚步攻击、SQL注入攻击和基于credentials的安全漏洞等。

3、对搜索引擎的支持比较弱。

4、破坏了程序的异常机制。至少从目前看来，像ajax.dll，ajaxpro.dll这些ajax框架是会破坏程序的异常机制的。

5、另外，像其他方面的一些问题，比如说违背了url和资源定位的初衷。例如，有一个url地址，如果采用了ajax技术，也许在该url地址下面看到的和别人在这个url地址下看到的内容是不同的。这个和资源定位的初衷是相背离的。

6、一些手持设备（如手机、PDA等）现在还不能很好的支持ajax，如手机的浏览器上打开采用ajax技术的网站时，它目前是不支持的。

一分钟学会什么是Ajax及Ajax请求的五个步骤

得先知道后台接口给ajax访问（接口URl和传入接口的参数及参数类型），知道访问之后返回的数据类型，有哪些数据。

选择异步请求的方式，常用的有三种，如$.ajax()、$.post()、$.get()。

其中$.ajax允许get/post两种请求方式，$.get()只允许get请求，$.post()只允许post请求方式。

异步请求所需要的常用要素：

a、url （访问url） b、dataType（数据传输方式） c、success成功之后的回调函数。

$.ajax使用示范代码（由于异步请求的参数较多，实例只是常用参数，下同）。

设接口url

var url='/test/test.do'; //下面的实例代码都用此访问接口url

$.ajax({

url:url,

dataType:'text',

success: function(data){

(请求成功之后的前端处理代码)

}

});

$.post使用示范代码：

$.post(url, { name: "John", time: "2pm" }, function(data){

alert("Data Loaded: " + data);

},'text');

$.get使用实例代码：

$.get(url, { name: "John", time: "2pm" }, function(data){

alert("Data Loaded: " + data);

});

看，jQuery异步请求简单吧。学会这三种方式做前后端交互基本就够用了。

ajax 为什么需要 同源策略

如果把“需要”替换为“遵守”可能更好一些。

同源策略的本质是一种约定，可以说web的行为就是构建在这种约定之上的。就好比我们人类的行为必须受到法律的约束一样。同源策略的目的就是限制不同源的document或者脚本之间的相互访问，以免造成干扰和混乱。

ajax太灵活了，各种请求说法就发，如果没有同源策略的限制，发到哪里都行，只要你构造好参数和请求路径，那人人都是黑客了，这样会导致各种敏感数据的泄露。

另外呢，那些带src属性的scriptimgiframelink等标签是不需要遵守同源策略的，但是通过src加载的资源，浏览器限制了javascript的权限，不能进行各种的读写。从而，即使请求发了，敏感数据回来了，也是取不到的。

通过上对比，带有src的标签不被同源策略限制，因为javascript本身就做了读写的限制，而ajax本身就是js的，太灵活了，javascript读写方便，所以它必须遵守同源策略。

最后再补充一点，如果ajax非要跨越，可以使用cors。你可以百度“cors 跨域”来学习一下。

ajax 利与弊 大量使用时 或完全使用时

优点：“交互性”和“用户体验”。。。。。

缺点：1、破坏了浏览器的后退机制 。

2、安全问题。ajax的逻辑可以对客户端的安全扫描技术隐藏起来，允许黑客从远端服务器上建立新的攻击

3、对搜索引擎的支持比较弱。

4、破坏了程序的异常机制。

。。。。。