下面的技巧将帮助你的Web应用对抗本章中描述的调查技术:
·将所有JavaScript文件整理到一个目录。确保该目录和其中的任何文件没有“执行”权限(也就是说,它们只能被Web服务器读取,不能作为脚本执行)。
·对于IIS,将.inc、.js、.xsl和其他包含文件打包在一个COM对象中,放置到Web根目录之外。
·剥离开发人员注释。应该存在一个不面对互联网的测试环境,在这里代码中可以保留用于调试的开发人员注释。
·如果文件必须调用Web服务器上的其他文件,那么使用与Web根目录或者当前目录相对的路径名。不要使用包含驱动器号或者Web文档根目录之外目录的完整路径名。此外,脚本本身应该去掉目录遍历字符(../../)。
·如果网站需要验证,确保验证应用到整个目录及其子目录。如果匿名用户不应该访问ASP文件,那么他们也不应该能够访问XSL文件。