有没有一种很好的方法来保护通过Javascript在HTML按钮的单击事件处理程序上进行的ASP.Net Web服务调用?
-
02-07-2019 - |
题
使用带有脚本管理器的服务引用为Web服务使用Javascript代理的目的是避免页面加载。如果检索到的信息可能是敏感的,除了使用SSL之外,还有办法保护此Web服务调用吗?
解决方案
如果您担心其他人直接访问您的网络服务,您可以检查主叫IP地址和主机标头,并确保它与预期的IP地址匹配。
如果您担心人们在从服务器到客户端的过程中窃取信息,那么SSL是唯一的方法。
其他提示
我会使用ssl,这也取决于我想你的信息有多敏感。
我会:
- 使用SSL进行连接
- 在请求中放置基于时间和会话的令牌
- 根据服务器上的预期范围验证输入 醇>
SSL阻止了中间人
标记化请求在会话中的最后一个活动的合理时间内验证请求是来自活动且经过身份验证的会话。这可以防止重新提交陈旧请求,并验证它是否来自会话源(在服务器上存储IP地址,用户代理等以进行会话管理)。
验证输入是否在预期范围内,验证您正在与之通话的一方未对请求进行篡改。
尽管SSL是最好的,但是有许多客户端加密库可以缓解一些安全问题 - 请参阅 https://github.com/jbt/js-crypto 收集精彩内容
不隶属于 StackOverflow