【发布时间】:2011-08-08 09:12:28
【问题描述】:
使用 USB 令牌/智能卡保护启用 silverlight 的 WCF 服务通信。第一次访问必须通过输入 PIN 来确认。一旦通过身份验证,恶意网站就可以使用 IMG-Tags 和/或 JavaScript 向 WCF 服务发起 CSRF 请求。根据Security Guidance for Writing and Deploying Silverlight Applications,这里常用的技术是使用(会话)令牌或所谓的“nonce”,同时检查 HTTP Referrer 标头已被证明是不安全的。
我理解这背后的想法,据我了解,如果您有一个单一的表格(即联系表格)和单一的服务,您可以确保用户在发送之前必须查看并填写表格。在 Silverlight 应用程序中,我无法预定义这种顺序,许多请求(例如请求产品的价格更新)可以以任意顺序启动。
你有什么建议我应该如何保护 Silverlight 到 WCF 的通信以防止 CSRF 攻击,确保已经过身份验证的调用者从受信任的站点请求?
【问题讨论】:
标签: silverlight wcf security csrf