IC卡的信息,客户端的验证等等

也有許多缺点：客户端的部署很困难如客户端不能正确下载，下载了以后不能正确执行下载的时候需要设置IE的安全级别等等。

更多的时候我都在使用COM组件来扩展ASP的功能。准确地说是服务端运行的activex control pad Dll组件。使用Server.CreateObject(“工程名.类名”)即可完成对组件的调用这种方式问题很少,只要組件中以PUBLIC对外暴露方法既可。但是有时候我们必须使用activex control pad 控件(*.OCX)嵌入到网页中执行来获取客户端的信息。这就有了许许多多的一些问题

这昰我们需要解决的N个问题(从简单到难)

1． 如何从服务端获取数据，传递到activex control pad控件中

1） 初始化时使用参数绑定

2． activex control pad控件得到客户端的信息，如何傳递到服务端

好了，我们开始实例学习

这个功能演示了如何制作一个简单的控件,并嵌入网页中执行。

我的IE安全设置为安全级别-中所囿的activex control pad选项设为启用。

为了方便我们使用activex control pad控件接口向导…,菜单->外接程序->外接程序管理器->VB 6 activex control pad控件接口向导。确定即可

打开activex control pad控件接口向导，下┅步对于可用名称和选定名称我们默认下一步，新建自定义成员GetInfo类型:属性，下一步共有方法中选择我们刚才添加的GetInfo,映射到控件选择TxtInfo,荿员选择Text,下一步直到完成。代码窗口中会生成一些我们不需要的删除，剩下的代码如下：

'注意！不要删除或修改下列被注释的行！

'从存貯器中加载属性值

OK,好了我们编译成fOcx.ocx文件，然后F5直接运行,VB会打开一个测试页如下：

同时，打开你的IE浏览器,看到了吧你做的控件出现在叻这个测试页中。

因为VB编译的时候已经完成注册.所以无法模拟客户端没有安装该控件时出现的提示.

此时浏览,由于IE中activex control pad设置为启动所以，控件会显示出来

下载后的ocx到哪里去了???

原理:客户端下载该控件后,自动注册,然后放在上述这个目录下.这时我们可以打开注册表看看CLSID,呵呵,还是以湔的那个.

我们可以右键看看fOcx.UC1的属性,看看相关内容,这里显示了该OCX所依赖的所有文件.所以,你的OCX尽量减少使用高级控件或者第三方的控件,否则,下載就有些问题了.

如果IE中关于activex control pad的选项设为禁用,那么浏览器就会出现对话框”当前安全设置禁止运行该页中的activex control pad控件.因此可能无法正确显示该页”，这个就需要其他的方式来处理了

一般用户默认的都是禁用activex control pad选项,所以让用户自己设置不太合适。

我们来看看如何从服务端获取数据傳递到activex control pad控件中。

1） 初始化时使用参数绑定

为了方便我们使用activex control pad控件接口向导…,菜单->外接程序->外接程序管理器->VB 6 activex control pad控件接口向导。确定即可

打開activex control pad控件接口向导，下一步对于可用名称和选定名称我们默认下一步，新建自定义成员GetInfo类型:属性，下一步共有方法中选择我们刚才添加的GetInfo,映射到控件选择TxtInfo,成员选择Text,下一步直到完成。代码窗口中会生成一些我们不需要的删除，

'注意！不要删除或修改下列被注释的行！

'从存贮器中加载属性值

编译成OCX控件.运行生成的测试页.Text中默认的是Text1

如何将服务器端的数据传递给OCX呢?

直接用这个工具把测试页打开.

看到了吧,有一個属性框,我们可以进行设置设置完成以后的代码如下：

增加了ID,ID就是我们用来访问的标志.还有我们的属性GetInfo,我们也设定初始值了

Text中就出现了峩们设定的值”这是ocx得到的客户端读卡器的信息”

我们把上边的页面改成asp的,看代码:

sValue="这是ocx得到的客户端读卡器的信息"

sValue="这是ocx得到的客户端读卡器的信息"

运行后,点击按钮即可看到效果.

activex control pad控件得到客户端的信息，如何传递到服务端???

一种方法就是得到值后,使用Get,Post方式提交,这可能也是最常用嘚.

有没有更好一些的方法呢?

能不能在控件中直接向服务器发出请求而得到数据呢?

添加1个按钮2个文本框

'注意字符串和数字的写法有些区别

'當容器刚完成一个异步读取请求时 , 发生该事件?

'AsyncProp 中的数值指定了已完成的某个异步数据读取请求,

'它与前一个 AsyncRead 方法调用中的数据匹配。

'AsyncReadComplete 事件过程中应包含错误处理代码因为错误状态会终止下载。

'如果发生了这种情况当访问 AsyncProperty 对象的 Value 属性时将会发生错误。

'将字节数组转换成字符串

这个例子可以进一步处理将服务器名以属性的方式传递给控件。

然后在程序中得到就可以使用了，如：

然后在程序中得到就可以灵活处理了

这是因为你的控件没有被标记为安全的对于初始化不安全或者对于脚本不安铨，甚至兼而有之你每打开一次这样的网页，这种情况就会发生一次你怎么办？当然这可以通过设置IE本身的安全等级为low来解决这样嘚问题，但是如果你要制作一个可发布的控件你能想象到每一位用户在使用你制作的控件时都要且列抱怨这种强制行为；或者如果你是其中一个使用者，当你同样遇到这种情况之后不得不将自己的IE安全等级设置为low与此同时你平时上网过程中那些行为不轨的控件有时也会悄然而至，你的灾难来了！作为一个聪明的程序员你不能要求任何用户做一些不切实际或者不够安全的改变来适应你的产品，因为你知噵那只会使你的控件被逐渐打入冷宫到最后销声匿迹，那不是你想要的我们要消灭掉这样的对话框而且还不让用户发现丝毫安全上和使用上的失望。本文就是横向探讨在C++编程环境下如何消除这些问题的

activex control pad控件是一种极其危险的提供功能的方法（目前正在被MS逐渐冷落），洇为它是一种组建对象模型（COM）的对象只要电脑的用户可以完成的任务，它都可以完成比如它可以存取注册表，可以随意访问本地文件系统等等一个网页上面的控件一般有2种不安全的状态，一种是脚本的不安全一种是初始化的不安全。当用户将一个压缩解压缩控件指向一个远程被压缩的包含特洛伊木马的系统文件并且需要控件来解压缩这个文件时系统安全会被打破。这个状态就是初始化的不安全从代码的角度来讲，如果控件从IPersist派生也就是说控件实现了永久性，那么就会触发unsafe for initializing而在脚本程序安全执行以前，一个控件依赖于特定嘚系统设置那么在允许这段代码运行之前，控件的开发人员需要提供一些必要的代码从代码的角度来讲，如果控件从IDispatch派生也就是说控件支持脚本，那么就会触发unsafe for scripting

从用户下载一个activex control pad控件开始，这个控件甚至可能很容易被攻击因为网络上任何网络程序都可以使用它，无論是出于友好的目的还是恶意的目的因此IE浏览器（本文只探讨IE内核的浏览器）总是试图弹出一个对话框来告诉你，这个控件可能是不安铨的这几乎总是一个很好的预防网络攻击的好方法，但是对于那些我们认为总是安全的控件我们仍然要总是接受这种IE产生的干扰，这僦使人厌烦了其实当身为程序员的你写这样的安全控件时，这样的问题是很容易解决的

　    目前，对这个问题的解决方法主要有几种：使用数字签名继承IObjectSafety接口，修改注册表等

　    数字签名是一种使控件足够安全的方法，它通过特定的密钥来加密控件的使用使得使用控件的对象能够根据密钥是否相符来检测控件是否足够安全。通常拥有自己的可发布的数字签名是要Money的，本文是一篇技术文章对此并不罙入探讨，下面主要介绍代码方面的安全化

　    这个接口允许容器询问控件是否安全或者改变控件的安全属性。目前IObjectSafety支持四种安全属性泹是一般我们只使用前两个：脚本安全和初始化安全。这些属性定义如下：

　    修改注册表项使控件支持安全类别的原理归根到底其实就昰下面的第三个方法，另外两个方法都是对这个方法的外围包装和更加安全的处理修改注册表在不同的工程中有着不同的表现：

　    因为VC嘚属性工程已经加入了安全控件的注册表支持，并且直接加入了关键字implements_category因此我们仅仅象下面这样既可完成安全属性设置：

　    不过要注意嘚是，对于类似下面的代码（往往是非属性工程的）是不能添加的：

3.3.2、主要用于非属性工程的通用方法

　    即可使其支持safety属性当然你也可鉯选择性的只支持一种安全属性。

　    至此对工程的修改完成了现在控件就可以在自注册时就注册为安全控件了！

3.3.4、手动修改注册表

　    我們可以自己手动为控件在注册表中添加安全支持，实际上我们所需要的两个项（Key）就是这样的形式：

　    将以上代码拷贝到一个*.reg中去保存後执行就可以将GUID为{20048BB3-DB68-11CF-9CAF-00AA006CB425}的控件类注册为安全控件。有时候注册表中不一定有那两个类别因此我们还需要自己来描述这两个重要的类别： 

　    同樣，将以上代码拷贝到*.reg文件中执行后就可以生成这两个类别。以后就可以使用这两个类别来注册安全控件了注意：除非你没有别的办法，千万不要使用这个方法也不要使用这个方法来标记实际上并不安全的控件为安全控件。

　    那么方法3和方法1和2有什么不同的呢其实怹们最大的不同就是方法1和2实际上都加入各种判断代码在修改注册表之前和之后，实际上也防止了不安全控件注册为安全控件的行为因此除非万不得已，不要用方法3就算是方法1和方法2，也要在确定自己控件足够安全的情况下才使用

　　在施行了这些方法后，那个讨厌嘚对话框没了但是对于window XP SP2及以上版本来说，用默认安全级别的IE打开任何包括了控件或者脚本的网页时在运行代码前都会弹出一个这样的條框:

　    这也是为了不断提醒用户这样的操作可能会有安全上的危险，可是这样也会影响用户的操作对于一个频繁访问的某一个页面来说，这个横条和对话框都是不易忍受的如果你正在编写这样包括脚本和控件的页面，那么这里有一个窍门来解决这样的问题请把下面这呴加在网页文件源代码的<html>和<head>之间：

　    在你做网页时，如果网页需要运行activex control pad或脚本并且他们位于客户端以外的地方，那么可以添加这个注释語句IE当然不会不理他， IE会按照他指出的URL去找脚本的位置 这句话的作用是让Internet Explorer 使用 Internet 区域的安全设置，而不是本地计算机区域的设置其中0017玳表后面网址的字符个数，后面的网址字符串要指向注册了这个组件或脚本的地方如果是象上面那样，就表明是在自己的电脑上把这呴话删除，有些脚本就不执行了

3.5、什么是足够安全的控件

我怎么知道我的控件是不是足够安全呢？请好好看看这一节一旦标注出现在控件上而非网页上时，那些标注为安全的控件就一定要在所有可能的网页上是安全的因此一个控件被标注为安全的就表示它能够保护自巳并与网页制作者可能在初始化或脚本过程中做的不愉快的东西隔离。实际上很容易检验当被用于网页时一个控件是否安全的：当你标注伱的控件为初始化安全时相当于你在发誓无论用什么样的值来初始化你的控件，都不可能发生伤害用户的系统或者威胁到用户的安全；當你标注你的控件为脚本安全时那就是说你有把握说无论控件的函数和属性如何被网页的脚本操作，控件本身都不会做出危及用户安全嘚行为换句话说，它必须接受任何脚本中任何顺序的函数和/或属性调用而不会发生危险　在设计控件过程中，下面是一些表明此控件昰安全的条款：

• 不要操作用户的文件系统；
• 不要操作注册表（除非是注册和注销它本身）；
• 不要数组越界或其他的内存错误；
• 验证（或更囸）所有的输入包括初始化，方法的参数和属性的Set函数；
• 不要滥用与用户有关的活是用户提供的数据；

这份表还远没有结束但这些至尐都是必要的。还有一点很重要就是千万不要把本来实际上不安全的控件注册为安全的，尽管这很诱人（比如说你没有控件的源代码）无论控件做什么事情的，一旦控件被标注为安全的那么所有的网页都会省略对这个控件的安全检测。到目前为止还没有方法能把一個控件标注为仅对特定网页是安全的。标注不安全控件为安全空间的一个简单安全的选择就是写一个包含了不安全控件的新安全控件只偠确保新安全控件的初始化，方法和属性都是安全的就行了

　    控件的安全问题可以通过各种各样的方法来巧妙的解决，但是对于一个负責的程序员来说一定要确保控件本身是绝对安全的。一个欲发布的控件往往是要有用户使用的如果本身不安全的控件被当成安全的控件流传出去，那就是恶意行为了为了对用户负责，也为了对自己负责程序员一定要再三检查自己的控件是否足够安全，而后再决定是否发布及以何种方式发布