jQuery から同じ Web ドメインでホストされている Web サービスへの JSON 呼び出しを頻繁に使用する Web サイトがあります。多くの呼び出しは、訪問者がログインする必要のない公開ページから行われます。
Fiddler を使用してこれらの JSON 呼び出しを再生できるように見えますが、これは大きな問題です。悪意のあるユーザーが私のサイトを開くだけで Fiddler のトレースをキャプチャできるようになったためです。
サイトのページから行われた JSON 呼び出しのみがサーバーで許可されるように、Web サービスを保護する方法はありますか? バックエンドで ASP.NET MVC を使用しています。
ありがとうございました。
このトピックに貢献していただきありがとうございます。フォローアップの質問があります:
SSLについてはどうですか?すべてのサービスを SSL で保護されたフォルダーに配置した場合、それは (パフォーマンスを犠牲にして) 包括的なソリューションになりますか? ありがとう。
答えはノーです。ユーザーはいつでもブラウザによって作成された HTTP リクエストをシミュレートできます。そのため、すべての例外と悪意のある試行を処理できるようにバックエンドをコーディングする必要があります。
すべてのリクエストに nonce を使用します。これを実装するのは難しいかもしれませんが、私の頭に浮かんだ最も重要なことの 1 つです。
ユーザー エージェントを追跡し、非標準ブラウザからのすべてのリクエストを無効にします。
リファラーをチェックして、それが予想されるページまたは少なくとも同じドメインから来ていることを確認してください
追跡するために追跡セッション/Cookie 変数を含める
ただし、これらはすべて回避される可能性があるため、最善の策は、バックエンド システムをより安全にしてユーザー入力を処理できるようにすることです。
JSON 呼び出しの有効性を確認するには複数の方法があり、それぞれが複数のレベルのセキュリティを提供します。
RefererHTTP ヘッダーにサイトの URL が含まれていることを確認します。これにより基本的なセキュリティが確保されるため、通常のユーザーは Fiddle を介して呼び出しにアクセスできなくなります。たとえば、フォローアップの質問について:
SSL はブラウザとサーバー間の接続のみを保護します。つまり、両者間の通信を検査することはできません。(たとえば、途中で呼び出しの内容を変更する可能性のある中間者。) 攻撃者が独自の JSON 呼び出しを行うことを防ぐことはできません。違いは、彼の呼び出しは暗号化されており、あなたのサーバー以外は検査できないことです。