Существует два сценария, которые необходимо обезопасить с помощью веб-служб:
- Аутентифицирован ли пользователь?
- Идет ли действие с моей страницы?
Аутентификация уже выполнена, если вы используете Аутентификацию по формам. Если ваша веб-служба находится в защищенной области проверки подлинности с помощью форм, никто не сможет получить доступ к вашим веб-службам, если они не вошли в систему.
Второй сценарий - немного более хитрая история. Атака называется CSRF или XSRF (подделка межсайтовых запросов). Это означает, что вредоносный веб-сайт выполняет действия от имени вашего пользователя, пока он все еще находится на вашем сайте. Вот отличная рецензия на XSRF .
Джефф Этвуд суммирует все это в приведенной выше ссылке, но вот защита XSRF в четыре этапа:
- Напишите GUID для файла cookie вашего пользователя.
- Перед вызовом AJAX прочитайте это значение из файла cookie и добавьте его
на веб-сервис POST.
- На стороне сервера сравните значение FORM со значением cookie.
- Поскольку сайты не могут читать файлы cookie с другого домена, вы в безопасности.