第四、Ajax技术没有在安全性能方面取得突破。

　　（1）各方专家认为，虽然Ajax在网络安全性能方面没有下降，但是Ajax可能给整个行业带来多方位的冲击。与传统的Web应用模式相比，它在安全性能方面并没有下降。这是因为HTTP输入到服务器端时使用了相同的头文件、特征串和信息体。如果通过了检测的客户端代码和输入的数据已经不被禁止，Ajax将会沿着前面设定的路线得到应用。

　　（2）跨站点脚本语言XSS不是一个Ajax技术带来的新的攻击点，该脚本的使用在此之前已经常见，只是JavaScript出现之后，对该脚本语言的应用得到了广泛推广。HTML输入在多数情况下禁止使用，而且HTTP只有Cookies需要马上应用，以减少Cookie攻击和其它经由XSS产生的网络攻击。跨站点请求伪造技术在Ajax中没有明显变化，但是如果应用开发人员不检查HTTP Referer（sic）头文件，而且管理会议建议使用Ajax作为工具，你可能已经在着手应用Ajax技术了，尽管目前它还很不成熟。

　　（3）黑客就像开发人员一样，目前越来越多的黑客钟情于JavaScript，使得系统潜在的漏洞越来越多。网络专业人员应该清楚，开发人员（含黑客）熟知客户端代码可以被远程操纵、或者被无端修改，因此输入的数据应该彻底过滤、消毒，Ajax可能还没有完善这类功能。

　　（4）JavaScript的同源策略（SOP，same-origin policy）强化了基于XMLHttpRequest的Ajax应用中的安全策略。这个策略强调脚本语言不能在发行之外的领域应用。从开发者的观点来看，这个策略很烦人，这就意味着，比如，Ajaxref.com建立的页面不能在URL上显示。甚至在同一台机器上，也不属于一个作用域。DNS也不属于相同的领域，即使它是工作在SOP下的字符串检查手段。SOP在开发人员实现一些客户端Web应用方面会造成些麻烦，显然，最好的方法就是使用代理服务器完成对其他服务器的访问，并组合访问的结果形成客户端显示结果。然而，很多Ajax开发人员试图打破同源的限制，使用<script>标签完成传输，取代XMLHttpRequest对象可能带来的危险的信任假设，这导致了人们从整体上关注Ajax安全性的研究。

　　结束语

　　构件基于Ajax技术的Web应用系统可以使今日的企业网管和开发人员名噪一时。然而，在体验Ajax丰富的应用构件给你带来便利的同时，也应该认识到华丽的界面之后可能给你的应用埋下一定的隐患，这与JavaScript技术中兼容了很多第三方的构件有关。因此，一个借助了许多公共资源的具有丰富功能的Ajax项目，在提交之后往往有时会出现脆弱，对于不稳定的应用用户会很失望，即使使用Ajax编制的系统界面非常流畅，也很难保证系统的绝对安全。为了确保系统质量，网络专业人员一定要注意对Ajax的开发人员的专业培训，同时提供坚实的连续的对交付前平台的监测，并从用户的角度关注系统的整体性能。只有这样，企业的才能真正将Ajax技术引入到自我的业务流程之中，产生切实的经济和管理效益。