Esiste un buon modo per proteggere una chiamata al servizio Web ASP.Net effettuata tramite Javascript sul gestore eventi click di un pulsante HTML?

Question

Lo scopo di utilizzare un proxy Javascript per il servizio Web utilizzando un riferimento di servizio con Script Manager è di evitare il caricamento della pagina. Se le informazioni da recuperare sono potenzialmente riservate, esiste un modo per proteggere questa chiamata del servizio Web oltre all'utilizzo di SSL?

Answer 1

Se sei preoccupato per le altre persone che accedono direttamente al tuo servizio web, puoi controllare l'indirizzo IP chiamante e l'intestazione dell'host e assicurarti che corrisponda agli indirizzi IP previsti.

Se sei preoccupato per le persone che rubano informazioni durante il viaggio dal server al client, SSL è l'unica strada da percorrere.

Answer 2

Vorrei usare ssl, dipenderà anche suppongo su quanto siano sensibili le tue informazioni.

Answer 3

Vorrei:

1. Usa SSL per la connessione
2. Inserisci un token basato su ora e sessione nella richiesta
3. Convalida gli input rispetto agli intervalli previsti sul server

SSL impedisce il man-in-the-middle

Le richieste con token verificano che la richiesta provenga da una sessione attiva e autenticata, entro un ragionevole periodo di tempo dall'ultima attività all'interno della sessione. Ciò impedisce che le richieste non aggiornate vengano reinviate e verifica che provengano dall'origine della sessione (memorizzare l'indirizzo IP, l'agente utente, ecc. Sul server per la gestione della sessione).

La convalida del fatto che gli input rientrino negli intervalli previsti verifica che la richiesta non sia stata modificata dalla parte con cui stai parlando.

Answer 4

Sebbene SSL sia il migliore, esistono diverse librerie di crittografia sul lato client che potrebbero alleviare alcuni dei problemi di sicurezza. Vedi https://github.com/jbt/js-crypto per una bella collezione