Tôi đã xây dựng một ứng dụng sử dụng jQuery và JSON để tiêu thụ dịch vụ web ASP.NET .asmx để thực hiện các thao tác crud. Ứng dụng và .asmx nằm trên cùng một miền. Tôi không nhớ người tiêu thụ các hoạt động đọc của .asmx từ xa nhưng không muốn mọi người xóa công cụ một cách ngẫu nhiên !!!Chặn các cuộc gọi tên miền chéo tới dịch vụ web asp.net .asmx
Tôi có thể chia các phương thức mà tôi muốn truy cập công khai và các phương thức 'ẩn' thành 2 dịch vụ web. Làm thế nào tôi có thể khóa các cuộc gọi đến dịch vụ web 'hidden'.asmx đến cùng một tên miền được lưu trữ trong đó?
Xin cảm ơn trước.
Edit: Có thể ai đó bình luận về vấn đề này, có vẻ chính đáng (nguồn: http://www.slideshare.net/simon/web-security-horror-stories-presentation): Ajax có thể thiết lập HTTP Headers, hình thức bình thường không thể. Yêu cầu Ajax phải từ cùng một miền.
Vì vậy, yêu cầu "x-request-with" "XMLHttpRequest" phải từ cùng một tên miền.
Bạn có câu hỏi cụ thể về bản trình bày đó không? Tất cả mọi thứ chắc chắn được sử dụng để thỏa hiệp các trang web, nhưng với sự bảo vệ cơ bản bạn được an toàn. –
có phần của nó, nơi nó nói bạn có thể dựa vào x-yêu cầu-với để cho bạn biết nó từ cùng một tên miền và do đó an toàn. ive hỏi cùng một câu hỏi ở nơi khác ngày hôm nay và mọi người đều tin rằng bất kỳ tiêu đề http nào cũng có thể bị giả mạo. Tôi không chắc lắm. anyway, ive giải quyết điều này theo cách khác (refactor lớn) – jdee
nhưng cảm ơn rất nhiều vì đã giúp đỡ của bạn. nó chắc chắn đưa tôi đi đúng hướng để giải quyết vấn đề thế giới thực của tôi. – jdee