日期:2012-03-15  浏览次数:20928 次


     利用服务器端的包含(SSI)语句(或者指令)能够做些什么呢?实际上不多,除非打算创建在Web服务器上运行的可执行文件,并通过stdin和stdout函数访问ISAPI。这就意味能够用C、C++或其他语言(如Delphi)等编写它们,但VB并不适合。此外,使用SSI指令能够做的事情可达到与在ASP中实现同样好的效果。许多方法中,IIS的SSI特性对使用这些特性的原有的Web网站和Web页面具有向下兼容性。
然而,可能有时会希望在站点上使用SSI而不是ASP。在IIS 5.0中,服务器端的包含指令能够比以前更加容易地集成到一个远程站点上的ASP页,它们是有用的,特别是作为执行操作系统命令或原有的CGI应用程序的一种方式。后面将会非常详细地介绍可用的指令。
#include指令是这些指令之一,它已经与ASP一起使用了一段时间了,同样也在SSI页中使用。事实上,这已经对那些不具备传统的Web开发背景的ASP开发人员带来了很多混乱。

4.2.1 不可思议的ASP #include指令
在一个ASP页中,可以使用#include指令把另一个文件的内容插入到当前的页面中:
<!-- #include file=”/scripts/usefulbits.inc” -->
这条指令读取该文件的全部内容并插入到该页中,替代<!-- #include.. -->行。这是一种非常有用的插入HTML段落的技术,可反复使用。也常用该指令来插入代码段。例如,如果有一个包含几个脚本函数(或者只是单行脚本代码)的文件同时在几个页面中使用,则可以使用#include指令将其插入到需要它的每个页中。
通过把脚本和内容分开的方法,给页面提供了一个组成层次。这意味着如果对脚本进行了修改,在客户端再次打开该页面时,脚本的修改情况自动地反映到使用包含文件的每个页面中。包含文件也是一种插入服务器特定的信息的简单方法,所以把站点转移到另一个服务器不意味着必须编辑涉及原来服务器的所有页面(明显的例子是数据库连接字符串或指定一个完整的URL或服务器名字的链接)。这可以极大地减少维护费用。
例如,可以把下面的内容作为一个包含文件,命名为connect.inc:
<%
strConnect = “SERVER=myserver;DATABASE=mydb;DRIVER={SQL Server};” _
& “UID=username;PWD=secretpassword”
%>
然后可以在任何页中使用这个文件:
<!-- #include file=”path_to_fileconnect.inc” -->
<%

strTheConnectionString = strConnect ‘From include file

%>
使用包含文件的另一种情况是有些内容需要按指定的时间间隔进行修改。例如,在Wrox Web Deverloper站点上显示书目列表的网页,它包含了一个表,其中提供了所有的封面、书名和一些按钮,如图4-2所示:

这个表的HTML和文本保留在一个单独的文件中,该文件通过一条单独的#include语句包含在主页中。每次一本新书加入到该网页所基于的数据库中时,那个包含文本文件根据该数据库的情况重新创建,并作为一个文本文件写到磁盘上。
这个技术大大减少了在Web服务器和数据库服务器上的工作量,对该站点的访问者实现较快地响应。
1. 包含文件和ASP
在ASP网页(即带有.asp文件扩展名的网页)中使用的#include指令不能像一条真正的SSI指令那样进行处理,它仅是一条ASP能够识别并进行语法分析的特别指令。ssinc.dll直接用于执行SSI #include指令。然而这个由相应文件的内容替代#include指令的页面由ASP解释。
这意味着ASP对#include指令所进行的操作不实施控制。例如,可以试验以下代码:
<%
‘This will *not* work
strIncludeURL = Request.Form(“FileName”)
%>

<!-- #include file=”<% = strIncludeURL %>” -->
ssinc.dll将查找名为<% = strIncludeURL %>的文件,并且不可能找到,因此这段代码不会工作。
2. 包含文件的安全性
如果没有包含可执行脚本,在Web服务器上的ASP网页不能通过IIS的Web服务程序下载到一个客户端。但是,有人已经发现了偶然的安全性漏洞,比如著名的$DATA问题,所有在NTFS格式化的磁盘上保留Web内容的Web服务器都存在相应的问题。在IIS 5.0中这个问题已经得到解决。
$DATA问题的出现是因为在Windows NTFS驱动器上的所有文件都有一个缺省的“值”,即是该文件的内容,并且通过文件名加后缀“::$DATA”来指示。将其增加到一个ASP网页的URL的末尾将打乱IIS中的脚本映射关系,且允许服务器不对其中包含的脚本进行处理而不载该页面。对IIS 4.0和早期版本,有一个方法可以解决这个问题,或者可以只是增加几个映射来强制IIS正常地执行该网页:即增加对“.asp::$DATA”和“.asa::$DATA”的映射,两者都指向asp.dll文件。
包含文件的扩展各一般是.inc或.txt。如果在站点上发现一个包含文件的路径和文件名,可通过把包含文件的URL键入到浏览器的地址栏中,下载该包含文件,而不会把其作为ASP网页的一部分来执行。为防止出现这样情况,特别是在文件包含有敏感信息(诸如一个数据库链接字符串)的情况下,可能希望包含文件的扩展名为.asp。在这种情况下,如果试图下载一个包含文件,它将首先被传送到ASP,ASP将执行该文件中的所有脚本代码,并只发送出结果。如在包含文件中定义的一个链接字符串如下:
<%
strConnect = “SERVER=myserver;DATABASE=mydb;DRIVER={SQL Server};” _
& “UID=username;PWD=secretpassword”
Response.Write vbCrlf ‘Output a carriage return character
%>
客户端只能接受到单个回车符而不是脚本代码,因为该文件已经被ASP在服务器上执行了。如果不包含回车符,浏览器将挂起并等待一个响应(这并不是我们的问题,因为我们确实不打算允许用户直接访问这个文件)。
IIS 5.0和Windows的访问控制列表
在IIS 5.0中,Microsoft已经改变了Web服务器和操作系统访问服务器端包含文件的方法。
在IIS早期版本中,当ssinc.dll载入一个虚拟URL(即使用VIRTUAL = “filename”而不是FILE = “filename”)定位的一个包含文件时,将绕过Windows本身的安全性检查并忽略该文件及所存储的目录上的任何安全性设置。现在,在IIS 5.0中,运行当前ASP或SSI页面的帐号必须与对该文件和目录在Windows访问控制列表(ACL)中设置的权限相一致。如果不一致,该SSI指令运行将失败。

4.2.2 服务器端包含指令概要
除了已经讨论过的#include语句以外,还有IIS支持的五条服务器端包含指令(记住,除#include以外,这些语句不能在ASP网页中执行)。这些服务器端包含指令及说明如表4-1所示:
表4-1 服务器端包含指令及说明
指 令
说 明

#include
把一个指定文件的内容插入到将被发送给客户端的响应流中并代替该指令。例如:
<!-- #include FILE = “usefulbits.inc” -->
这条指令把名为usefulbits.inc文件的内容插入到响应中。这个文件可以由一个相对或全路径与文件名的组合描述,如FILE=”..scriptsmyscr.inc”。通过使用VIRTUAL属性,可使用一个虚拟的相对或绝对路径来描述它,例如:
<!-- #include VIRTUAL=”/mysite/ussefulbits.inc” -->
<!--