Как защитить конфиденциальные данные при использовании jQuery, AJAX и веб-сервисов

Question

У нас есть довольно уникальная база данных, мы собираем ее более 12 месяцев, и мне интересно, каковы общие методы и процессы для защиты этих данных при использовании веб-сервисов и AJAX.

Мы используем.NET 4.0, jQuery 1.6 и C # для веб-служб.

Интересно, каковы наилучшие методы защиты вашего кода и базы данных от кражи данных.

1.Как убедиться, что база данных отвечает записями только на запросы с нашей страницы?

• Можно ли заблокировать запросы от внешних запросов JS и Ajax?
• Нужно ли нам генерировать какой-то сеанс с хешем с секретным ключом, поэтому только мы знаем, действителен ли хеш
• , нам нужно, чтобы роботы не проходили все <select> в комбинациях html-фильтровМы не можем позволить кому-то разработать робота, который будет автоматически считывать все комбинации и сохранять результаты в базе данных

2.Каков наилучший способ минимизировать и запутать код JS, чтобы максимально затруднить декодирование для других?

Спасибо.

Answer 1

1. Как мне убедиться, что база данных отвечает записями только на запросы с нашей страницы?

Можно ли заблокировать запросы от внешних запросов JS и Ajax?

Да, посмотрите на request referrer (Request.URLReferrer.Host.ToString). Если это не ваша страница, не принимайте запрос.

Нужно ли нам генерировать сеанс с хешем с секретным ключом, поэтому только мы знаем, действителен ли хэш

Никакого вреда в этом нет. Проще использовать куки. Нет cookie = перенаправление на страницу входа. Значение cookie в любом случае является случайным ключом.

нам нужно помешать роботам пройти через все html Фильтровать комбинации, мы не можем позволить кому-то разработать робота, который автоматически прочитает все комбинации и сохранит результаты в базе данных

Поместите это за логином. Это не останавливает кого-то с ботом и логином.

Каков наилучший способ минимизировать и спутать код JS, чтобы сделать его как трудно другим расшифровать?

В этом нет никакого смысла. Все это должно быть декодировано для выполнения, и код для этого должен быть включен в ВАШ код.

В общем: если вы не хотите, чтобы люди крали его, не помещайте его в WWW.

Answer 2

Я не уверен, может ли реферер или куки защитить вас от сложных ботов ( http реферер спуфинг больше информации ), я мог бы добавить междоменный запрос с помощью ajax

Я бы сказал

• добавление аутентификации на ваш веб-сайт ( spring security )
• Youтакже можно добавить безопасность конечной точки в вашем веб-сервисе
• Я сделал нечто вроде истечения срока действия токена в одном из моих проектов, когда пользователь аутентифицирует пользователя, получает токен, срок действия которого истекает в определенное время