هل هناك طريقة جيدة لتأمين مكالمة خدمة ويب ASP.Net التي يتم إجراؤها عبر Javascript على معالج حدث النقر لزر HTML؟
https://stackoverflow.com/questions/121490
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
الغرض من استخدام وكيل Javascript لخدمة الويب باستخدام مرجع خدمة مع Script Manager هو تجنب تحميل الصفحة.إذا كانت المعلومات التي يتم استردادها حساسة، فهل هناك طريقة لتأمين استدعاء خدمة الويب هذا بخلاف استخدام SSL؟
المحلول
إذا كنت قلقًا بشأن وصول أشخاص آخرين إلى خدمة الويب الخاصة بك مباشرةً، فيمكنك التحقق من عنوان IP المتصل ورأس المضيف والتأكد من مطابقته لعناوين IP المتوقعة.
إذا كنت قلقًا بشأن قيام الأشخاص بسرقة المعلومات أثناء رحلتها من الخادم إلى العميل، فإن طبقة المقابس الآمنة (SSL) هي الطريقة الوحيدة لذلك.
نصائح أخرى
سأستخدم SSL وسيعتمد ذلك أيضًا على مدى حساسية معلوماتك.
أود:
- استخدم SSL للاتصال
- ضع رمزًا مميزًا يعتمد على الوقت والجلسة في الطلب
- التحقق من صحة المدخلات مقابل النطاقات المتوقعة على الخادم
تمنع طبقة المقابس الآمنة (SSL) وجود رجل في المنتصف
تتحقق طلبات الرمز المميز من أن الطلب يأتي من جلسة نشطة ومصادق عليها، خلال فترة زمنية معقولة من آخر نشاط داخل الجلسة.يؤدي هذا إلى منع إعادة تقديم الطلبات القديمة والتحقق من أنها جاءت من مصدر الجلسة (قم بتخزين عنوان IP ووكيل المستخدم وما إلى ذلك على الخادم لإدارة الجلسة).
التحقق من أن المدخلات ضمن النطاقات المتوقعة يؤكد أن الطلب لم يتم معالجته من قبل الطرف الذي تتحدث إليه.
على الرغم من أن طبقة المقابس الآمنة (SSL) هي الأفضل، إلا أن هناك عددًا من مكتبات التشفير من جانب العميل التي يمكن أن تخفف بعض المخاوف الأمنية - راجع https://github.com/jbt/js-crypto لمجموعة جميلة
