Gibt es eine gute Möglichkeit, um einen ASP.Net Web-Service-Aufruf erfolgt über Javascript auf dem Click-Ereignishandler einer HTML-Taste zu sichern?

Question

Der Zweck einer Javascript-Proxy für den Webdienst der Verwendung eines Dienstverweis mit Script-Manager ist es, eine Seite zu laden, zu vermeiden. Wenn die Informationen abgerufen werden, möglicherweise empfindlich ist, ist es eine Möglichkeit, diese Web-Service-Aufruf andere als die Verwendung von SSL zu sichern?

Answer 1

Wenn Sie Ihre Sorgen um andere Leute Ihren Web-Service direkt zugreifen, können Sie die rufenden IP-Adresse und Host-Header überprüfen und sicherstellen, dass es erwartet IP-Adressen übereinstimmt.

Ihre Sorgen um die Menschen Wenn Informationen zu stehlen während es Fahrt vom Server zum Client, SSL ist der einzige Weg zu gehen.

Answer 2

würde ich ssl verwendet es abhängen würde auch ich nehme an, wie empfindlich Ihre Informationen.

Answer 3

Ich würde:

1. Verwenden Sie SSL für die Verbindung
2. Legen Sie eine Zeit und sitzungsbasierten Token in der Anfrage
3. Überprüfen Sie die Eingaben gegen erwarteten Bereiche auf dem Server

SSL verhindert Man-in-the-Middle-

Zeichen übersetzten Anfragen überprüfen, ob die Anfrage von einer aktiven und authentifizierte Sitzung kommt, innerhalb eines angemessenen Zeit von der letzten Aktivität in der Sitzung. Dies verhindert, dass veraltete Anfragen erneut vorgelegt werden und überprüft, ob sie von der Quelle der Sitzung kam (speichern die IP-Adresse, User-Agent, etc auf dem Server für Session-Management).

Validieren, dass die Eingänge innerhalb der erwarteten Bereiche sind überprüft, ob die Anfrage von der Partei frisiert wurde nicht, die Sie sprechen.

Answer 4

Obwohl SSL am besten wäre, gibt es eine Reihe von Client-seitige Kryptographie-Bibliotheken, die einige der Sicherheitsprobleme lindern könnte - siehe https://github.com/jbt/js-crypto für eine nette Sammlung