【发布时间】:2010-10-11 23:15:49
【问题描述】:
我已经构建了一个应用程序,它使用 jQuery 和 JSON 来使用 ASP.NET .asmx Web 服务来执行 crud 操作。应用程序和 .asmx 在同一个域中。我不介意人们远程使用 .asmx 的读取操作,但不希望人们随意删除东西!!!
我可以将我希望公开访问的方法和“隐藏”的方法拆分为 2 个 Web 服务。如何将 'hidden'.asmx Web 服务的调用锁定到其托管的同一个域?
提前致谢。
编辑: 有人可以对此发表评论吗,似乎是合理的(来源:http://www.slideshare.net/simon/web-security-horror-stories-presentation): Ajax 可以设置 Http 标头,普通表单不能。 Ajax 请求必须来自同一个域。
所以“x-requested-with”“XMLHttpRequest”请求必须来自同一个域。
【问题讨论】:
-
您对该演示文稿有什么具体问题吗?一切都绝对是用来破坏网站的,但有了基本的保护,你就安全了。
-
是的,它说你可以依靠 x-requested-with 告诉你它来自同一个域,因此是安全的。我今天在其他地方问了同样的问题,每个人都相信任何 http 标头都可以被欺骗。我不确定。无论如何,我以另一种方式解决了这个问题(主要重构)
-
但非常感谢您的帮助。它肯定让我走上了解决我现实世界问题的正确轨道。
标签: asp.net jquery security json asmx