ajax文档中心

这个类摘自： ASP.NET Ajax典型应用一书
xmlhttp.js
function $() {
var elements = new Array();
for (var i = 0; i < arguments.length; i++) {
    var element = arguments[i];
    if (typeof element == 'string')
      element = document.getElementById(element);
    if (arguments.length == 1)
      return element;
    elements.push(element);
}
return elements;
}
//------------------------------------------------------------------------------------------
//封装XMLHTTP的Request类的代码
var Request = new Object();
//定义一个XMLHTTP的数组
Request.reqList = [];
//创建一个XMLHTTP对象，兼容不同的浏览器
function getAjax()
{
    var ajax=false;
    try
    {
     ajax = new ActiveXObject("Msxml2.XMLHTTP");
    }
    catch ......

Dynatrace AJAX Edition是我认为最为强大的Web Performance Profile工具。废话不说了，直接上图介绍其主要功能。
先用IE访问你需要profile的网站，例如google，可以点击dynatrace工具栏来启动。这时候dynatrace就开始记录这个网站触发的一切事件。

我简单测试一下，点击google map，并且搜索shanghai，然后回去看看dynatrace可以帮我们分析出什么。
这个是summary，主要包括几大数据：
1）url：所有浏览过的URL路径，每选择其中一个url，下面具体的内容也会根据当前选择的url变化
2）resources & network：所有资源文件的数目，多少是通过网络传输，多少是来自缓存。Network里面会说明花费在网络上的时间分布：DNS解析，建立连接，服务器响应，网络传输
3）JavaScript: 事件触发花费的时间分布，如onload，onclick等等。各个js文件执行时间分布。
4）Timeline：有个时间轴，可以非常清晰的看到CPU，网络，JavaScript执行，页面显示所花费的时间。
下面Timeline：

可以很清晰的看到时间具体的花费分布，以及什么时间触发了什么事件。双击时间轴上面的任何具体时间块，都可以看到具体的内容，我点击一段JavaScript执行时间段来作为例子。下面就是双击后看到� ......

B/S为何难于提供好的用户交互体验?
最大问题有几个：
　　(1)无状态的HTTP协议
　　WINDOWS窗体间能够通过内存直接交换信息，但作为B/S架构通讯基础协议的HTTP是无状态的。
　　如果将浏览器看成是客人，Web服务器看成是旅馆，在HTTP协议的管理之下，会出现这种情况：不管某客人来访多少次，Web服务器都将其视为第一次的访客。这样一来，客人每次都得带齐身份证件供旅馆工作人员“验明正身”。
　　HTTP协议的无状态，导致Web服务器的“六亲不认”，这固然能添加Web服务器的吞吐量，却给应用系统的开发带来了麻烦。因为应用系统中常常有许多业务处理流程，天生就是信息流转的，即原始数据从一端进去，从另一端出来时应该已经过某些处理，怎可想象整个业务流程中的信息会流失？于是，在HTTP各请求间共享信息就成了件麻烦事，这就是HTTP请求的“状态保持”问题。每个B/S系统都必须解决这个问题。微软想了一些“歪招”，比如充分利用HTML网页的中隐藏域，再在Web服务器上做些手脚，于是ASP.NET拥有了一套在各个HTTP请求之间维持状态的技术：SESSION，COOKIE，VIEWSTATE，PROFILE，APPLICATION。
　　然而问题并没有完全解 ......

如何在客户端直接调用WebService中的方法？
这里结合经验自己写一写
1.首先新建一个 ASP.NET AJAX-Enabled Web Site,这样系统为我们自动配置好了环境，这主要体现在Web.config这个文件上，如果已有网站不是ASP.NET AJAX-Enabled Web Site也可以对照修改下Web.config，也可以达到相同的效果。
2.新建一个web服务，WebService.asmx，在WebService.cs需要添加System.Web.Script.Services;这个命名空间：
using System.Web.Script.Services;
然后给WebService 类添加[ScriptService]属性这里先说步骤，后面说原理，然后给我们需要调用的方法加上
[WebMethod]属性
3.新建一个JScript文件，JScript.js，里面用来响应界面事件处理回调方法返回的数据
4.新建一个页面Default.aspx,如果是ASP.NET AJAX-Enabled Web Site页面上会自动添加ScriptManager控件，如果不是只要手工拖上去一个，然后给ScriptManager添加Script节点，这个节点用来指定要使用的js文件
<Scripts><asp:ScriptReference Path="~/JScript.js" /></Scripts>
再给ScriptManager添加Services节点，这个节点用来指定要使用的WebService
<Services><asp:ServiceReference ......

1.胖客户端的部署方案
java web start
.net clickonce
2.入侵思路
HTTP数据的记录->发现ajax可能存在问题的点->绕过javascript的一些限制和破解javascript混淆代码->找到json的sql注入点->找到ajax可以添加管理员的回调函数和json相关
3.sql注入小技巧
union select name from sysobjects where xtype='U'只要得到相同的字段
4.客户端取消cookie认证不是保证了安全，而是把威胁又无形扩大了
5.ajax攻击层面包括了传统的WEB漏洞+WEB SERIVCES漏洞。
6. 报头中可能存在危险的注入
7.RSS注入(外部资料可以参考 black hat 2006年Robert Auger
http://www.cgisecurity.com/papers/RSS-Security.ppt的文章)
8.json的漏洞必须要验证序列化数据(外部参考资料black hat 2005 Attack web Services: The next Generation of vulneralbe enterprise apps下载地址http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-stamos.pdf
和HackInTheBox的pentesting java/j2ee)
9.douglas防御Json的eval注入 ......

3 mistakes to avoid when using jQuery with ASP.NET AJAX
AJAX, ASP.NET, JavaScript, jQuery By Dave Ward on June 5th, 2008
Over the past few weeks, I think I have definitely embodied Jeff Atwood’s claim that we’re all amateurs, learning together. Despite my best efforts to thoroughly test before posting, a few problems slipped through in my recent posts about using jQuery to consume ASP.NET JSON serialized web services and using jQuery to call ASP.NET AJAX page methods.
On the bright side, your great feedback in both posts’ comments has reinforced the fact that some of the best content on my blog is the part that you write.
In this post, I’m going to detail three of the problems that were discovered as a result of those previous two posts:
An extra requirement when making a read-only request to IIS6+.
An oddity in Internet Explorer 7’s XmlHttpRequest class.
A common mistake when passing JSON parameters through jQuery.
Finally, I’ll suggest w ......

收藏的一个js ajax封装类

Web Performance工具 – Dynatrace AJAX Edition

关于AJAX、B/S、C/S的几个思考

关于AJAX、B/S、C/S的几个思考

ASP.NET AJAX调用WebService

ASP.NET AJAX调用WebService

ajax 安全读书笔记

将jQuery应用于Asp.net Ajax时，应避免的3个错误

将jQuery应用于Asp.net Ajax时，应避免的3个错误