【发布时间】:2011-05-19 14:33:36
【问题描述】:
我正在构建一个 ASP.NET Web 应用程序,该应用程序有许多表格供公共用户注册并输入要保存到数据库中的数据。我一直想更深入地研究真正的 AJAX,因此我将许多事务编写为 RESTful WCF Web 服务。新用户注册、用户登录和简单的表单提交等事务都是通过 AJAX 完成的。
在对代码进行审查后,一名团队成员反对这种方法,理由是,
“它不如完整回发安全,因为 .NET 具有像 ViewState 这样的‘安全措施’来防止滥用客户端攻击服务器。”
- 这个论点有道理吗?
- 与使用完整回发相比,使用 RESTful Web 服务使我的应用程序遭受滥用的风险要多多少?
我不一定要寻找 .NET、WCF 甚至 ViewState 特定的响应,尽管这些肯定与我的特定情况更相关。我正在寻找解决技术方法本身的答案 - 而不是它们的实现。无需验证授权即可修改任何用户帐户的 Web 服务显然是一个糟糕的实现。 “完整回发”页面的实现可能同样糟糕。因此,这个论点既不存在也不存在。
RESTful Web 服务(或一般的 Web 服务)是否有任何内在因素使它们比传统的 .net 回发更不安全?
【问题讨论】:
-
考虑使用 ASP.Net MVC;我怀疑你会更喜欢它。
-
我很高兴开始使用 MVC。对我来说不幸的是,由于技术要求,该项目无法实现。
标签: .net ajax wcf security rest