Есть ли хороший способ защитить вызов веб-службы ASP.Net, выполняемый через Javascript, в обработчике события click кнопки HTML?

Question

Цель использования прокси-сервера Javascript для веб-службы с использованием ссылки на службу в Script Manager - избежать загрузки страницы. Если полученная информация потенциально конфиденциальна, есть ли способ защитить этот вызов веб-службы, кроме использования SSL?

Answer 1

Если вы беспокоитесь о том, что другие люди получают доступ к вашей веб-службе напрямую, вы можете проверить вызывающий IP-адрес и заголовок узла и убедиться, что он соответствует ожидаемым IP-адресам.

Если вы беспокоитесь о том, что люди украдут информацию во время ее перемещения с сервера на клиент, SSL - единственный путь.

Answer 2

Я бы:

1. Использовать SSL для подключения
2. Поместить маркер времени и сеанса в запрос
3. Проверка входных данных по ожидаемым диапазонам на сервере

SSL предотвращает «человека посередине»

Запросы токенов подтверждают, что запрос поступает из активного и аутентифицированного сеанса, в течение разумного периода времени с момента последнего действия в сеансе. Это предотвращает повторную отправку устаревших запросов и проверяет их поступление из источника сеанса (сохраните IP-адрес, пользовательский агент и т. Д. На сервере для управления сеансом).

Проверка того, что входные данные находятся в ожидаемых диапазонах, подтверждает, что запрос не был обработан стороной, с которой вы разговариваете.

Answer 3

Я бы использовал ssl, это также зависело бы от того, насколько конфиденциальна ваша информация.

Answer 4

Хотя лучше всего использовать SSL, существует ряд библиотек криптографии на стороне клиента, которые могут облегчить некоторые проблемы безопасности - прекрасную коллекцию см. https://github.com/jbt/js-crypto