10

この質問が一般的すぎることは承知していますが、質問を絞り込むために、簡単な説明を以下に示します。

ASP.net UpdatePanelJQuery経由でajaxを使用することを忘れて移動する予定です。JavaScript (およびその結果としての JQuery コード) の単純なクライアント側の性質により、私の Web ページのソースを見れば、私が呼び出している Web サービスの URL と、渡されているものを認識できるのではないかと心配しています。それらの Web サービスに。

これらのタイプの操作に使用UpdatePanelする場合、Web サービスの呼び出しはサーバー側で行われると確信しており、機密性の高い Web サービスの呼び出しに関する情報が公開される問題については心配していませんが、Ajax を介して使用することを計画しています。 JQuery、それは私をとても心配しています。

私の懸念は妥当ですか?もし本当なら、web-service-calling-info が公開されるという脅威を回避するための最善の解決策は何ですか?

明確化: UpdatePanel と言うときは、ASP.net AJAX、コード ビハインドを含む一連のテクニックを利用し、サーバーとのやり取りに Web サービスを必要とする jquery Ajax の代わりに、非同期サーバー側操作を実行するためにサーバー側 Dll に依存することを意味します。

4

3 に答える 3

6

URL を非表示にするだけで、インターネット上で Web サービスを常に保護する方法はありません。updatepanel がサーバーから Web サービス呼び出しを行うとあなたが言うのはいつで、AJAX の真の力を利用していないのか、私にはわかりません。

Web サービスを保護する 1 つの方法は、Web サービス側で認証を使用することです。たとえば、ソースにアクセスするたびに認証キーを送信する必要があります。これは非常に一般的です。OpenId 実装のような認証キーを使用して自己保護するパブリック Web サービスが非常に多くあります。Web サービスのロジックを変更したくない場合は、AJAX の jquery の方法は安全なオプションではないと思います。

ここに考えがあります.2つのレベルのWebサービスを持つことができます.1つは、jqueryで使用できるすべてのものに対して開かれます. 現在の Web サービスから、サーバー側から別のセキュアな Web サービスを呼び出します。現在でも、特定のマシン IP に対して着信要求を構成できます。

この場合、自分のサーバー以外は、ファイアウォールの背後に安全に保持されている Web サービスにアクセスできません。これは、アプリケーション サーバーからデータベース サーバーに接続するときに行うことと似ています。

これが役立つかどうか教えてください。

于 2013-04-05T12:39:06.730 に答える
2

ASP.Net について言及しているので、そのビューステートは簡単に解読できることを知っておいてください。コードを保護する絶対確実な方法はありません (URL が呼び出されるとは言いません)。Web サービスが、制限のない危険なアクションを許可するパラメーターを使用して呼び出される場合は、いくつかのユーザー/ロール/権限管理の使用を開始することをお勧めします。

「中間者」攻撃が心配な場合は、https を使用することをお勧めします。

于 2013-04-15T09:37:34.260 に答える