Existe-t-il un bon moyen de sécuriser un appel de service Web ASP.Net effectué via Javascript sur le gestionnaire d'événements de clic d'un bouton HTML?

Question

L'utilisation d'un proxy Javascript pour le service Web à l'aide d'une référence de service avec Script Manager permet d'éviter le chargement de pages. Si les informations récupérées sont potentiellement sensibles, existe-t-il un moyen de sécuriser cet appel de service Web autre que l'utilisation de SSL?

Answer 1

Si vous craignez que d'autres personnes accèdent directement à votre service Web, vous pouvez vérifier l'adresse IP de l'appelant et l'en-tête de l'hôte et vous assurer qu'il correspond aux adresses IP attendues.

Si vous craignez que des personnes ne volent des informations entre le serveur et le client pendant le trajet, SSL est la seule solution.

Answer 2

Je voudrais utiliser ssl, cela dépendrait également de la sensibilité de vos informations.

Answer 3

je voudrais:

1. Utiliser SSL pour la connexion
2. Placez un jeton basé sur l'heure et la session dans la demande
3. Validez les entrées par rapport aux plages attendues sur le serveur

SSL empêche l'homme au milieu

Les demandes en jetons vérifient que la demande provient d'une session active et authentifiée, dans un délai raisonnable à compter de la dernière activité de la session. Cela évite que les demandes obsolètes soient soumises à nouveau et vérifie qu’elles proviennent de la source de la session (stockez l’adresse IP, l’agent utilisateur, etc. sur le serveur pour la gestion de session).

Le fait de vérifier que les entrées se situent dans les plages prévues vérifie que la requête n'a pas été falsifiée par la partie avec laquelle vous parlez.

Answer 4

Même si SSL serait préférable, il existe un certain nombre de bibliothèques de cryptographie côté client qui pourraient atténuer certains problèmes de sécurité - voir https://github.com/jbt/js-crypto pour une belle collection