В кінці 2006-го року всіма нами шанована компанія Microsoft випустила в продаж  давно очікувану нову операційну систему Windows Vista, що покликана прийти на зміну Windows XP. Зразу ж в Інтернеті почалися дискусії на тему – чи є Windows Vista дійсно краща за Windows XP? Чи це лише спроба компанії збільшити власні прибутки за рахунок продажу недосконалої ОС кінцевому користувачу, який власне кажучи вже майже 6 років чекає від Microsoft чогось кращого за ОС Windows XP?

Давайте розберемося, що нового і цікавого може запропонувати Microsoft у своїй новій ОС. Безперечно зміни у новій системі значні, я не маю на увазі тільки новий візуальний інтерфейс AeroGlass. Користувачі бета-версій нової ОС безперечно помітили якісні зміни в інтерфейсі взаємодії з ОС, покращення мережевих та інших функцій. Але тут розмова піде не про це. Перш за все нас цікавлять нові технології кешування даних, анонсовані в Vista - SuperFetch і ReadyBoot. Попробуємо розібратися що це таке.

AJAX (від англ. Asynchronous JavaScript and XML — «асинхронний JavaScript і XML») — це підхід до побудови інтерактивних користувацьких інтерфейсів веб-додатків. При використанні AJAX веб-сторінка не перезавантажується повністю при взаємодії з користувачем. Замість цього з веб-сервера довантажуються тільки необхідні користувачу дані.

Для того щоб дана концепція працювала необхідно між клієнтом і сервером створити так званий Ajax-движок. Який би виконував функції асинхронного доступу користувача до даних на сервері. Як же ж працює модель Ajax?

• Користувач заходить на веб-сторінку і натискає на якийсь її елемент.
• Скрипт (на мові JavaScript, якраз той самий Ajax-движок) визначає, яка інформація необхідна для оновлення сторінки.
• Браузер відправляє необхідний запит на сервер.
• Сервер повертає лише ту частину документа, яка була запрошена.
• Скрипт вносить зміни у веб-сторінку, враховуючи отримані результати (без повної перезагрузки сторінки).

Як було сказано вище Ajax – це лише підхід, а не технологія. Він базується на ряді технологій:

В даній статті розглянемо методи захисту від такого типу вразливості Веб-додатків як XSS ін’єкція. Що ж таке XSS ін’єкція?

XSS - (англ. Сross Site Sсriрting) - міжсайтовий скриптинг, тип вразливості комп’ютерної системи. Особливістю даного типу атак є те, що замість безпосередньої атаки сервера, використовується вразливий сервер в якості засобу для атаки на клієнта.

Cross-site scripting - це одна з найбільш поширених вразливості Веб-додатків. При такому типу атаки, атакуючий розміщує шкідливий JavaScript або інший вміст на Веб-сторінці (наприклад повідомлення на форумі), який пізніше може бути виконаний цим Веб-додатком. Тут ми говоримо про скрипти, які можуть бути вставлені в HTML-код, і потім виконані браузером користувача.
Розрізняють п’ять найбільш поширених таких скриптів:

• <script>: часто використовується для вставки JavaScript або VBScript;
• <object>: часто використовується для вставки Flash, ActiveX-компонентів та ін;
• <applet>: використовується тільки для Java applets; все частіше замінюється на <object>;
• <iframe>: використовується для вставки фреймів;
• <embed>: використовується для програвання медіа файлів; все частіше замінюється на <object>;

Варто зазначити, що картинка обробляється браузером з використанням тегу <img>, і є особливою формою <object>, а отже теж може використовуватися для XSS-ін’єкції.