保护ASP脚本的源代码

保护ASP脚本的源代码 Active Server Page(简称ASP)技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效率。但由于ASP脚本是采用明文(Plain Text)方式来编写的，所以应用开发商辛辛苦苦开发出来的ASP应用程序，一旦发布到运行环境中去后，就很难确保这些“源代码”不会被有意或无意地“流传”出去，无法实现对知识产权的保障。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。本文将就如何有效地保护开发出来的ASP脚本的源代码的思路和方法进行了基本的分析和展示。 ?ASP的运行机制? 我们先来分析一下ASP的运行机制:首先，ASP脚本是一系列按特定语法(目前支持VBScript和Jscript两种脚本语言)编写的、与 HTML页面混合在一起的脚本所构成的文本的文件。当客户端的最终用户用Web浏览器通过Internet,Intranet来访问基于ASP脚本的应用时，Web浏览器将向Web服务器发出HTTP,HTTPS请求。Web服务器分析、判断出该请求是ASP脚本的应用后，自动通过ISAPI接口调用 ASP脚本的解释运行引擎(ASP(DLL)。ASP(DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容，通过Web服务器“原路”返回给Web浏览器，由Web浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的 ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。 ?思路与方法? 根据ASP脚本的原理，我们就可以提出以下几种保护ASP脚本源代码的思路: 1)“脚本最小化”:即ASP文件中只编写尽可能少的源代码，实现商业逻辑的脚本部分被封装到一个COM,DCOM组件，并在ASP脚本中创建该组件，进而调用相应的方法(Method)即可。应用开发者在动手开发ASP脚本应用之前就可按此思路来开发，或直接用ASP脚本快速开发出原型系统后，针对需要保护、加密的重要的部分脚本用COM,DCOM组件来重新开发、实现并替换。 2)“脚本加密”:即ASP脚本仍直接按源代码方式进行开发，但在发布到运行环境之前将脚本进行加密处理，只把加密后的密文脚本发布出去。要实现这种方法，就要在ASP(DLL读取脚本这个环节加入密文还原的处理。 实现这种思路的方法主要有两种:方法一是自行开发一个ISAPI的IIS过滤 (Filter)模块，在ASP(DLL之前钩连(Hook)对ASP脚本文件的读取，以便把从文件系统读出的密文还原成ASP(DLL可以解释的明文;方法二就是直接由ASP(DLL提供对ASP脚本加密处理的支持。微软在新版本的VBScript(DLL和JScript(DLL中提供这种称为Microsoft Script Encode技术的支持。这样，无论是客户端的VBScript或Jscript(包括WSH脚本等)，还是服务器端的VBScript或Jscript (即ASP脚本)都可以支持加密处理。 Microsoft Script Encode技术具体的实现思路包括以下两个方面:一是加密过程，通过提供一个实用程序对包含ASP脚本源代码的文本文件进行扫描，找出其中标记为 “〈SCRIPT LANGUAGE=″VBScript″〉”或“〈SCRIPT LANGUAGE=″JScript″〉”的脚本部分，进行加密处理并替换为密文后，将该标 志相应地改为“〈SCRIPT LANGUAGE=″VBScript(Encode″〉”或“〈SCRIPT LANGUAGE=″JScript(Encode″〉”;二是还原过程，IE浏览器或ASP(DLL等执行脚本时是统一通过VBScript(DLL或 JScript(DLL来进行解释执行的，所以它们都能同时地、透明地支持明文和密文的脚本～ 总之，如果采用第一种思路，要么就自行在开发过程中遵照进行，要么可以考虑选择自动转换成Visual Basic编译代码的通用的、实用工具;采用第二种思路的话，要么就自行开发IIS ISAPI过滤模块，要么可以考虑直接采用Microsoft Script Encoder软件。 ?实例? 从微软公司站点免费下载到sce10en(exe(英文版)或sce10chs(exe(简体中文版)之后，直接运行之即可完成安装过程。安装完毕之后，将生成一个screnc(exe可执行文件，这是一个运行在DOS Prompt的命令行工具。 假设我们现在有如下的一个ASP脚本文件要进行加密: 我们可以在DOS Prompt下运行screnc,l vbscript aa(asp bb(asp〈Enter〉来生成包含密文ASP脚本的新文件bb(asp，其中的运行参数,l vbscript是用来显式指明是VBScript语法。 加密后的结果如下: 这里大家可能已经注意到了，所有的英文字符，只要是在“〈,”和“,〉”之内的，不管是否是注解，都变成了不可阅读的密文了，但中文却没有进行变换,～不过，这一点对其可用性来说应该还是可以接受的。