Java Reference
In-Depth Information
Aber auch andere Maßnahmen im DOM, die ein Re-Layout erzwingen, sind inefektiv.
Bereits das Manipulieren von CSS-Eigenschaten eines Elements kann zu einem Neuaufbau
einer Webseite führen. Fassen Sie möglichst viele Schritte dabei zusammen, wenn mehrere
Änderungen notwendig sind. Wenn man Elemente benötigt, die bereits in einem DOM vor-
handen sind, ist klonen statt neu erzeugen meist efektiver. Verwenden Sie also statt der
Methode
document.createElement()
die Methode
cloneNode()
von einem
node
-Objekt.
■
■
11.2■Sicherheitsfragen
Wenn Sie mit JavaScript im Rahmen einer Webseite programmieren, kommen Sie unweigerlich
mit dem Thema Sicherheit in Berührung. Sie erstellen mit JavaScript ja sogenannte aktive
Inhalte und diese sind erst einmal ein Sicherheitsrisiko (wobei ein Risiko natürlich nicht zwin-
gend eine Lücke ist). Aber Sicherheitsprobleme bei JavaScript wurden (und werden teils immer
noch) teilweise erheblich überzogen dargestellt. Das Thema hat auch eine zweite Facette, denn
zur Sicherheit zählt ebenfalls die Frage, ob und wie Sie Ihre Skripts selbst sichern können.
11.2.1■Welche Sicherheitslücken hat JavaScript?
Besprechen wir zuerst, welche Dinge böse Programmierer bei einem Besucher einer Web-
seite mit dort laufendem JavaScript anrichten können. Obwohl viele Leute JavaScript kritisie-
ren, weil diese Sprache nur sehr wenige Möglichkeiten bietet und sehr einfach ist, ist genau
dieses ein entscheidender Sicherheitsvorteil von JavaScript gegenüber vielen potenziellen
Konkurrenten im Umfeld des WWW respektive des Webbrowsers. Nicht zuletzt deshalb hat
sich JavaScript im Web ja auch durchgesetzt. So können Sie mit JavaScript keine nativen
Bibliotheken auf einem Betriebssystem aufrufen, keine Folgeprogramme direkt starten,
nicht auf die Festplatte des Anwenders schreiben oder den Verzeichnisbaum unkontrolliert
auslesen etc. Von daher bietet die Sprache selbst wenig Munition für einen efektiven Angrif.
Aber man muss für potenzielle schädliche Maßnahmen nicht einmal so weit gehen. Bereits
die Zugrife im Bereich des Browsers könnten unangenehm werden. Doch funktionieren aus
JavaScript heraus keine unkontrollierten Zugrife auf den URL eines Dokuments aus einem
Unterframe bzw. IFrame oder ähnliche Maßnahmen wie das unbestätigte Schließen des
Hauptfensters eines Browsers. Ebenso können Anwender in ihrem Browser mittlerweile
sehr genau angeben, welche Maßnahmen sie JavaScripts zugestehen, oder die Browser sind
von vorneherein gegen potenziell unangenehme Skriptmaßnahmen abgesichert. JavaScripts
werden also ziemlich an die Kandare genommen, zumindest so lange, wie ein Anwender
solche Maßnahmen durch Aufweichung der Sicherheitseinstellungen im Browser nicht
explizit zulässt und/oder Skripten erweiterte Rechte einräumt.
Signierte Skripte und Sicherheitseinstellungen der Browser
In diversen Browsern kann man Skripten erweiterte Rechte einräumen, etwa über die soge-
nannten signierten Skripten (
Signed Script Policy
). Dieses Konzept ist beileibe nicht tri-
Search WWH ::
Custom Search