动态网页源码安全性研究及实现

２０１０年　《和田师范专科学校学｝　（汉文综合版）　Ｊｕ１．２０１０第２９卷第四期　总第６６期　

动态网页源码安全性研究及实现　

的手段来获得网站的机密资料，为实现网页安全，保护网页不被非　

法操作，网页开发人员必须在开发网页的过程中添加相应的限制用　

户操作代码，加密源代码，但由于现在网站的规模都比较大，页面　

买买提江・阿不都热西提　

文件很多，如果手动的添加代码将花费很多的人力资源，这时急需　

一

个新的软件能根据开发人员的需要对相应的网页自动添加限制代　

（和田师专计算机科学系新疆和田８４８０００）　

码和加密文件。　

２．设计（研究）现状和发展趋势　

［摘　要］本文在研究了动态网页源码特性的基础上，针对动态页面的　

现在的网站用户利用ＩＥ的缺陷，方便的浏览页面的源码，获得　

源码安全性特点，设计了在开发动态页面的过程中如何加密源码的方法，即将动　

有用的信息来下载文件，现在虽然有一些方法和加密软件，来保护　

态页面编译后要向客户显示的内容保存在相应的字符串变量，将其加密，并自动　

源码的安全，但是基本上处于静态页面的源码安全性没有统一的方　

生成静态页面，最后用页面自动调转的方法将动态页面调转到该静态页面，以保　

法来解决问题，并且存在诸多的不便和限制，比如说通过手动的在　

护源码的安全　

源码里添加相关限制操作代码，这种方法的效率太低，并且容易破　

［关键词］动态页面；源码；安全性；ＡＳＰ　

解，对于加密软件的，比如微软提供的一个加密脚本的程序：　

１．前言　

ＳＣＲＥＮＣ．ＥＸＥ，虽然可以对页面进行加密，但该程序是一个运行在　

随着科技的发展，网络已经进入千家万户，网络对社会生活的　

ＤＯＳＰＲＯＭＡＰＴ的命令工具，只有加密脚本的功能，没有屏蔽右键　

影响力和重要性在不断地提高，正由于网络的价值特别是各种ｗｅｂ　

等功能，加密后的程序要求用户的浏览器必须使用ＩｎｔｅｍｅｔＥｘｐｌｏｒｅｒ　

服务资源蕴涵的“大价值”具有很大的诱惑力，诱使一些人用非法　

５．０以上的版本，脚本加密程序只对脚本代码进行加密，文件的其他　

苦系数”，它等于失业率×通货膨胀率的倒数。有学者提出了“幸　

ｑ　＝Ｏ．５；当Ｇｉ比Ｇｊ不重要时，ｑ　＝０。　

福指数”，它等于收入的递增／吉尼系数Ｘ失业率×通货膨胀。从调　评分值构成矩阵Ｑ＝（ｑ，　）…该矩阵单元问存在如下关系：　

研来看，合肥市民的“幸福指数”总体较高。　

ｑ。。＝０．５；ｑ　Ｊ　ｑｊ。＝１。　

３．国民教育。教育不仅能够提高居民生活的物质基础，而且对　

指标Ｇ　，Ｇ。，…Ｇ　的权重系数分别为：　

居民的主观感受及精神生活有很大的影响。国民教育通过教育状况　

指标来衡量，包括九年义务教育完成率、初中升学率、每万人中在　

芝　’　

＝　

校大学生数、每干人拥有中小学教师数和职工在职培训人数五个监　

测点。合肥是全国四大科教基地之一，科技竞争力相对较高，高级　

∑∑ｑ　

Ｊ　ｌ　ｉ＝ｌ　

生产要素相对丰富，发展后劲较足。　

影响民生质量包含６个具体要素：物质生活（Ｂ１）、精神生活（Ｂ２）、　

４．就业和社会保障。这一指标主要包括劳动就业、医疗服务和　

国民教育（Ｂ３）、就业和社会保障（Ｂ４）、安全因素（Ｂ５）、人居环境　

社会保障三个指标。其中劳动就业包括应届大中专毕业生就业比例　

（Ｂ６）。在本研究中，层次分析法决策指标的标度含义的重要性是指　

和城镇登记失业率、医疗服务包括每万人拥有卫生技术人员数和每　

某因素对合肥市民生质量的影响程度，例如，如果因素ｉ比因素ｊ更　

万人拥有医疗床位数。社会保障包括职工基本养老保险参保率、城　

能影响民生质量，则ｑ。　＝ｌ，反之，如果　素ｉ不比因素Ｊ更影响，民　

镇居民医疗保险参保率、农村合作医疗参保率和农村五保对象集中　

生质量，则ｑ　＝Ｏ。　

供养率四个监测点。合肥市城镇登记失业率控制在４．０９％以内。　说　

因素　Ｂｌ　Ｂ２　Ｂ３　Ｂ４　Ｂ５　Ｂ６　∑　Ｗｂｉ　

明合肥市城镇居民失业率较低，就业和社会保障水平总体较高。　

Ｂ１　Ｏ．５　１　１　ｌ　ｌ　１　５．５　０．３ｌ　

５．安全因素。安全因素是居民生活的重要组成部分，安全状况　

Ｂ２　Ｏ　Ｏ．５　０　Ｏ　０　０　０．５　０．０３　

包括交通事故死亡率、安全生产死亡率、主要农产品质量安全检测　

Ｂ３　Ｏ　１　０．５　０　ｌ　１　３．５　Ｏ．１９　

超标率和集中式饮用水源地水质达标率四个监测点。２００９年，合肥　

Ｂ４　Ｏ　１　１　Ｏ．５　ｌ　ｌ　４．５　０．２５　

亿元ＧＤＰ生产安全事故死亡牢０．１７，比一ｈ年下降１９％；工矿商贸企业　

Ｂ５　Ｏ　１　Ｏ　０　Ｏ．５　ｌ　２．５　０．１４　

从业人员ｌＯ万人生产安全事故死亡率１．８３，比上年下降２３．１％。２００９　

年合肥道路交通万车死亡率５．Ｏ１，下降ｌ８．５％。合肥市民对合肥社会　

Ｂ６　Ｏ　ｌ　Ｏ　Ｏ　Ｏ　０．５　１．５　Ｏ．Ｏ８　

治安满意率为９６％，比上年提高１个百分点。重点排污企业废水达标　

∑　１８　１　

率１００％，生活垃圾无害化处理率１００％，饮用水源水质达标率１００％。　

由上表可见，对合肥市民生质量影响较大的前四位的指标依次　

安全生产秩序较好。　

是：物质生活（Ｏ．３１）、就业和社会保障（０．２５）、国民教育（０　ｌ９）、　

６．人居环境。人居环境包括年度商品房每平方米平均价格、家　

安全因素（０．１４），这四项占到８９％。经调研，这四项指标影响度与　

庭人均居住面积、低收入家庭廉租住房覆盖率、年度达到Ｉ级、ＩＩ级　

民众对民生工程的期望值基本一致，这些民生质量监测指标及权重　

空气质量天数、城市每万人拥有公共交通车辆、人均公共绿地面积７　

对合肥市政府的民生工程投入具有一定的参考价值。　

个监测点。２００９年合肥市城镇居民人均住房建筑面积２６．１平方米，　

参考文献：　

农村居民人均住房使用面积为３３．４７平方米，全年空气质量优良天数　

［１］２００９年合肥市国民经济和社会发展统计公报［Ｒ］．　

达￣ｉｊ３１７天，优良率８６．８％。　说明合肥市人居环境总体较好。以上　

［２］张学浩等．合肥人均消费性支出全省第一［Ｎ］．合肥晚报，２００９—０２—０６．　

六项指标相互联系又相互制约，共同构成合肥市民生质量监测指标　

［３］合肥市区人均公共图书馆藏书量跻身全国前ｌ０位［ＥＢ］．安徽统计信息网，　

体系。　

２００１—０６—１４．　

三、合肥市民生质量监测指标的权重测算　

［４］王弘毅．城镇登记失业率在４．０９％以内［Ｊ］．合肥日报，２０１０—０５—０２．　

如何确定以上评价指标的权重关系？可运用层次分析法进行定　

［５］２００９年合肥市国民经济和社会发展统计公报［Ｒ］．　

量分析，层次分析法（简称ＡＨＰ方法）由美国运筹学家Ａ．Ｌ．Ｓａａｔｙ提　

［６］２００９年合肥市国民经济和社会发展统计公报［Ｒ］．　

出，基本思路是通过将复杂问题分解为若干层次和若干因素，在听　

［７］谭跃进．定量分析方法［Ｍ］．中国人民大学出版社，２００２．　

取专家意见和实践调研的基础上，对各因素之间进行比较，计算出　

基金项目：本文系合肥市哲学社科规划项目研究成果（项目　

各项指标的权重关系，进而得出各项因素对合肥市民生质量影响程　

号：ｈｆｓｋ０９—１０ｄ１７）　

度的大小，　步骤如下：　

作者简介：韦勇（１９７３一），男，硕：｛：研究生，合肥学院基础部讲师，　

设有ｎ个影响具体指标Ｇ　，Ｇ。，…Ｇ　，其分值设为ｑ　三级比例　

研究方向：社会学，中国哲学。范海兰（１９８５一），女，安徽大学管理学院２００８　

标度的含义是：当Ｇｉ比Ｇｊ重要时，ｑ　＝ｌ：当Ｇｉ比Ｇｊ同等重要时，　

级硕士研究生，研究方向：人力资源管理。　收稿日期：２０１０—０４—１６　

ｌ８５　

２０１０年　《和田师范专科学校学报》（汉文综合版）　Ｊｕ１．２０１０第２９卷第四期　总第６６期　

内容不动且以普通文本形式显示，因此对于只供阅读且不想用户拷　

贝的文本内容起不了保护的作用，并且该程序对于由动态页面在运　

行中生成的文本信息也不起作用。所以现在的发展趋势是向动态页　

面源码安全性研究的方向发展，并应该研究一种系统的方法来保护　

源码的安全，根据需求选择不同的限制，以保护相关的信息。　

序使用什么方法连接数据库，或不想让别人看到某个比较重要的函　

数是怎么完成的，或者某个重要的流程，这时就需要发布不同的组　

件，这是个ｄＩｌ文件，就是别人得到了这个ｄｌＪ文件，一时半会儿也　

根本不能够得到要保护的重要信息。而且开发这些组件给程序带来　

了源源不断的新功能。　

３．设计的重点，难点及其实现方法　

６．磁盘ＩＤ与加密程序ＳＣＲＥＮｃ．Ｅ）（Ｅ结合　

３．１研究的重点和难点。重点是实现动态页面的源码安全，难　自从ＡＳＰ问世以来，因其可以创建健壮易于维护、与平台无关　

点是动态页面的加密保护过程的实现和方法。　

的应用系统，ＡＳＰ技术受到了越来越多网络程序员的喜爱，使用ＡＳＰ　

对于动态页面主要用下面三种方法来保护源码的安全：　从事ＷＥＢ开发的人也越来越多，但ＡＳＰ只是一种非编译型的，在　

（１）将动态页面编译后产生的输出内容加密，并自动生成的静态　

服务端运行的脚本语言，采用明文（ｐｌａｉｎｔｅｘｔ）方式来编写，即使采用　

文件，并用页面自动跳转的方法将动态页面跳转到该静态页面，以　了ＡＳＰ加密程序对ＡＳＰ源码进行加密，也不一定能保证发布到运　

保护源码的安全。　

行环境中去的ＡＳＰ应用程序不被非法拷贝。对于高权限的管理员，　

（２）使用组件技术将编程逻辑封装入ＤＬＬ之中，保护你的ａｓｐ　可以轻而易举从服务器端拷贝出ＡＳＰ程序并应用到别的非授权网　

中的一些代码的安全。　

站。这样给ＡＳＰ应用商业化带来了一定的困难，如何有效保护开发　

（３）利用磁盘序列号产生的随机性，结合微软官方免费提供的　

出来的ＡＳＰ程序，下文基于磁盘序列号产生的随机性，结合微软官　

ＡＳＰ脚本加密程序ＳＣＲＥＮＣ．ＥＸＥ，来保护开发出来的ＡＳＰ程序。　

方免费提供的ＡＳＰ脚本加密程序ＳＣＲＥＮＣ．ＥＸＥ，很好地解决了这　

３．２动态页面的源码安全性的设计方法和实现。因为动态页面　个问题。　

在不同用户的访问下存在不同的输｝Ｈ，或者相同用户的不同目的的　

磁盘序列号，简称磁盘ＩＤ，是对磁盘进行格式化时随机产生的　

访问也存在不同的输出，这时不能像静态页面那样任用户未访问之　磁盘标识信息，是一个卷序列号，同一机器两次格式化随机产生固　

前就将页面加密，而需要在用户访问的过程中根据用户需求提取的　

定格式的序列号相同几率几乎为零，ＤＯＳ的后期版本和　

信息进行加密，所以该加密过程必须放在开发人员开发的过程中来　ｗｌＮＤ０ＷＳ．ＷＩＮＮＴ均采用了这种磁盘标识方式，因而磁盘序列号　

实现。　常被运用于商业化软件进行加密使用，从ＷＩＮＤＯＷＳ９　Ｘ切换到　

４．用ａｓｐ．ｎｃｔ设计的实现方法　

ＭＳ．ＤＯＳ方式，键人ＤＩＲ命令后回车，屏幕出现当前卷标序列号信　

假设用户现在访问Ａ负面，则Ａ页面的代码开发人员在代码开　息，这个类似“０Ａ４８．ＩＣＤ７”的序列号是一个ｌ６进制数。一些限期　

发的过程中，先将要在页面显示的乱码字符、表格－ｕｒｌ等等符号按　

使用的软件，在使用期限到了之后，会要求使用者在线申请新的授　

ｈｔｍｌ格式存储在一些ｓｔｒｉｎｇ变量里，而小要将他们直接输　在负面　

权序列号。这种授权序列号相当一部分是采用了静态磁盘序列号结　

上，并调用相关的编码函数将字符串变量进行编码，编码后用文件　合时间产生的，安装完毕之后的软件，程序即使被非法拷贝到非初　

流读写的方式创建ｈｔｍｌ文件（假设为Ｂ），ｉ｝ｆ调用一个能自动按　始安装环境中，也不能使用。上述思想用ＶＣ，ＶＢ及ＤＥＬＬＰＨＩ编　

ｉａｖａｓｃｒｉｐｔ格式编码的函数在Ｂ文件里添加相关的ｈｔｍｌ代码，并将要　

程语言都容易实现，那么，在ＡＳＰ中又如何实现昵？ＶＢＳｃｒｉｐｔ作为　

输出字符串变量的内容写到该文件相应的位置中，　将Ａ文件跳转　种健壮的、安全的用户语言是受客户机系统限制的，不能触及客　

到Ｂ页面，这样就实现了加密文件的输　。关于以上设想用ａｓｐ．ｎｅｔ　户机上ＡＰＩ的调用，也不能直接操纵客户机上的文件和文件系统之　

设计的实现方法。　

外的控件。因而本文采用ＶＢＳｃｒｉｐｔ并结合ＡＳＰ内置组件ＦｉｌｅＳｙｓｔｅｍ　

重要过程如下：　

来实现上述思想。以下程序根据具体情况略加修改，可以应用于实　

（１）先建立一个ａｓｐｘ页面，命名为ｗｅｂｓｅｃｕｒｉｔｖ，在该页面上编　

际的ＡＳＰ应用系统。　

辑相应的要输出到客户端的表格和字符，全部采用手写ｈｔｍｌ代码的　

７．关于其他文件防非法拷贝，非法链接的方法　

方法编写，而不用或少用控件，通过连接数据库将相关的数据读出，　

（１）将图片用二进制格式存储在数据库，在使用的时候再从数据　

并将所输出字符通过合适的格式连接进来，存在字符串变量ｓｔｒＷｅｂ　库调｝ｊＪ，用户通过链按下载的图片将是不能识别的非图片格式的文　

里。　

件，这样可以防止用户非法保存图片。　

（２）调用ｉａｖａｓｃｒｉｐｔ里的编码函数ｅｓｃａｐｅ将字符串变量ｓｔｒＷｅｂ进　（２）将要被用户在线播放的文件，媒体不是直接提供文件的链　

行编码，变成不可读的字符，并将编码后的字符存回字符串变量　

接，而是提供一个存放相关文件位置的页面，让播放器链接到该页　

ｓｔｒＷｅｂ里。　

面时自动跳转，这样可防止用户用直接保存的方法保存文件。　

（３）创建静态文件ｍｙ．ｈｔｍＩ，并按正确的ｈｔｍｌ语法在ｍｙ．ｈｔｍｌ文　

８．结束语　

件里写人相关运行需要的标签，调用ｉａｖａｓｃｒｉｐｔ所需的语法，并将　奉文针对动态页面的特性，结合本人多年来制作网页积累的一　

ｓｔｒＷｅｂ写入到ｍｙ．ｈｔｍｌ文件的适当的位置，并在ｓｔｒＷｅｂ后加入必需　

些经验，关于保护ｗｅｂ源码的安全，主要的重点研究了三种方法来　

的ｈｔｍｌ标签，使文件ｍｙ．ｈｔｍｌ成为完整的页面文件。　保护源码的安全，经过测试能在一定程度上保护源码的安全，希望　

（４）用语句判断ｍｙ．ｈｔｍｌ是否创建成功。　

能抛砖引玉，引出更多更好的有关增强ｗｅｂ安全性的建议。　

（５）如果成功丫，将ｗｅｂｓｅｃｕｒｉｔｙ．ａｓｐｘ页面自动跳转到页面　

参考文献：　

ｍｙ．ｈｔｍｌ通过编码和调试，该方法运行成功。　

［１］龙马工作室．ＤｒｅａｍｗｅａｖｅｒＭＸ２００４＆ＡＳＰ动态网页编程完全自学手册［Ｍ］．　

一

５．使用组件技术保护源码　

人民邮电出版社，２００５．　

由于ＡＳＰ页面是纯文本的形式存放，在服务器端可以轻易看到　

［２］贺红．ｗｅｂ信息系统的安全隐患与网络管理员对策［ｊ］．计算机工程与应　

全部编程逻辑，如果非法用户进入服务器就能看到相关的代码，比　

用，２００５．　

如说非法用户可以获得打开数据库连接的资料，这样可以获得数据　

［３］刚健德．１ｎｌｅｍｅｔｗｅｂ数据库发布ＡＳＰ源码自动生成器的设计与实现［Ｊ］．　

库的机密资料，这就带来安全隐患。关于这个问题设计了一个解决　

计算机工程，２００２．

方法：使用组件技术将编程逻辑封装人ＤＬＬ之中。即使用ａｃｔｌｖｅｘｄｌｌ　

［４ｎ朱庆生基于动态网站的语义数据挖掘模型研究［Ｊ］．计算机工程与应用，　

２００５．　

来保护源码的安全。　

ａｃｔｉｖｅｘｄｌｌ是被编译过的机器代码，如果没有源项目文件的话是　

［５］邓峰．基于．ＮＥＴ的Ｂ／Ｓ结构的ＭＩＳ系统的安全控制［Ｊ］．电脑与信息技　

不能够被编泽的，这个技术使得开发者有可能开发出公共的自动化　

术，２００５．　

程序，并且把它们作为ｓｈａｒｅｗａｒｅ版本的程序发布，这个在ｃｈｉｎａａｓｐ　

作者简介：买买提江・阿不都热西提（１９７４一），男，维吾尔族，新疆　

中销售的一些组件中就可以看到这个技术的运用。　

墨玉人，硕士研究生，和田师专计算机科学系讲师，研究方向：计算机网络。　

如果想保护ａｓｐ中的一些代码的安全，例如不想让别人看见程　

１８６　

收稿日期：２０１０．０４－１９