怎么对ASP页面进行加密?

保护ASP脚本的源代码



　　Active Server Page（简称ASP）技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效率。但由于ASP脚本是采用明文（Plain Text）方式来编写的，所以应用开发商辛辛苦苦开发出来的ASP应用程序，一旦发布到运行环境中去后，就很难确保这些“源代码”不会被有意或无意地“流传”出去，无法实现对知识产权的保障。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。本文将就如何有效地保护开发出来的ASP脚本的源代码的思路和方法进行了基本的分析和展示。


　　■ASP的运行机制■


　　我们先来分析一下ASP的运行机制：首先，ASP脚本是一系列按特定语法（目前支持Vbscript和Jscript两种脚本语言）编写的、与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用Web浏览器通过Internet／Intranet来访问基于ASP脚本的应用时，Web浏览器将向Web服务器发出HTTP／HTTPS请求。Web服务器分析、判断出该请求是ASP脚本的应用后，自动通过ISAPI接口调用ASP脚本的解释运行引擎（ASP．DLL）。ASP．DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容，通过Web服务器“原路”返回给Web浏览器，由Web浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。


　　■思路与方法■


　　根据ASP脚本的原理，我们就可以提出以下几种保护ASP脚本源代码的思路：

　　1）“脚本最小化”：即ASP文件中只编写尽可能少的源代码，实现商业逻辑的脚本部分被封装到一个COM／DCOM组件，并在ASP脚本中创建该组件，进而调用相应的方法（Method）即可。应用开发者在动手开发ASP脚本应用之前就可按此思路来开发，或直接用ASP脚本快速开发出原型系统后，针对需要保护、加密的重要的部分脚本用COM／DCOM组件来重新开发、实现并替换。

　　2）“脚本加密”：即ASP脚本仍直接按源代码方式进行开发，但在发布到运行环境之前将脚本进行加密处理，只把加密后的密文脚本发布出去。要实现这种方法，就要在ASP．DLL读取脚本这个环节加入密文还原的处理。

　　实现这种思路的方法主要有两种：方法一是自行开发一个ISAPI的IIS过滤（Filter）模块，在ASP．DLL之前钩连（Hook）对ASP脚本文件的读取，以便把从文件系统读出的密文还原成ASP．DLL可以解释的明文；方法二就是直接由ASP．DLL提供对ASP脚本加密处理的支持。微软在新版本的Vbscript．DLL和JScript．DLL中提供这种称为Microsoft Script Encode技术的支持。这样，无论是客户端的Vbscript或Jscript（包括WSH脚本等），还是服务器端的Vbscript或Jscript（即ASP脚本）都可以支持加密处理。

　　Microsoft Script Encode技术具体的实现思路包括以下两个方面：一是加密过程，通过提供一个实用程序对包含ASP脚本源代码的文本文件进行扫描，找出其中标记为“〈SCRIPT　LANGUAGE=″Vbscript″〉”或“〈SCRIPT LANGUAGE=″JScript″〉”的脚本部分，进行加密处理并替换为密文后，将该标志相应地改为“〈SCRIPT LANGUAGE=″Vbscript．Encode″〉”或“〈SCRIPT LANGUAGE=″JScript．Encode″〉”；二是还原过程，IE浏览器或ASP．DLL等执行脚本时是统一通过Vbscript．DLL或JScript．DLL来进行解释执行的，所以它们都能同时地、透明地支持明文和密文的脚本！

　　总之，如果采用第一种思路，要么就自行在开发过程中遵照进行，要么可以考虑选择自动转换成Visual Basic编译代码的通用的、实用工具；采用第二种思路的话，要么就自行开发IIS ISAPI过滤模块，要么可以考虑直接采用Microsoft Script Encoder软件。


　　■实例■


　　从微软公司站点免费下载到sce10en．exe（英文版）或sce10chs．exe（简体中文版）之后，直接运行之即可完成安装过程。安装完毕之后，将生成一个screnc．exe可执行文件，这是一个运行在DOS Prompt的命令行工具。

　　假设我们现在有如下的一个ASP脚本文件要进行加密：


　　我们可以在DOS Prompt下运行screnc－l Vbscript aa．asp bb．asp〈Enter〉来生成包含密文ASP脚本的新文件bb．asp，其中的运行参数－l Vbscript是用来显式指明是Vbscript语法。

　　加密后的结果如下：


　　这里大家可能已经注意到了，所有的英文字符，只要是在“〈％”和“％〉”之内的，不管是否是注解，都变成了不可阅读的密文了，但中文却没有进行变换？！不过，这一点对其可用性来说应该还是可以接受的。

我也要分！！

SCRENC [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

脚本加密程序语法的组成部分如下： 

部分 描述 
/s 可选的。 开关，它指定脚本加密程序的工作状态是静态的，即产生无屏幕输出。如省略，缺省为提供冗余输出。 
/f 可选的。指定输入文件将被输出文件覆盖。 注意，该选项会破坏您原来的输入源代码。如省略，输出文件不会被覆盖。 

/xl 可选的。指定不把 @language 伪指令添加到 .ASP 文件顶部。如省略，@language 指令添加到所有的 .ASP 文件中。 
/l defLanguage 可选的。指定在加密过程中使用的缺省脚本编写语言 （JScript? 或 Vbscript）。被加密文件中的脚本块如不包含语言属性，即被认为是由指定语言写成。 如省略，JScript 是 HTML 页和脚本小程序的缺省语言，Vbscript 是动态网页的缺省语言。对于普通文本文件，由文件扩展名 （ .js 或 .vbs）决定缺省脚本编写语言。 
/e defExtension 可选的。把输入文件与一个特定的文件类型相关联。当输入文件的扩展名不能明显显示出文件的类型时，即，当输入文件扩展名不是可识别的扩展名，但文件内容又可以归为可识别的类型时，使用该开关。该选项无缺省值。如果遇到一个带不可识别的扩展名的文件，且该选项未被指定，则脚本加密程序不能处理该不可识别的文件。可识别的文件扩展名有 asa、asp、cdx、htm、html、js、sct和 vbs。 
inputfile 必需的。要被加密的文件名称，包括相对于当前目录的任何需要的路径信息。 
outputfile 必需的。要生成的输出文件的名称，包括相对于当前目录的任何需要的路径信息。