Zbudowałem aplikację, która używa jQuery i JSON do korzystania z usługi WWW ASPasm .asmx do wykonywania operacji crud. Aplikacja i .asmx znajdują się w tej samej domenie. Nie przeszkadza mi to, że ludzie zużywają operacje odczytu pliku .asmx zdalnie, ale nie chcą, aby ludzie losowo usuwali pliki !!!Blokowanie wywołań międzydomenowych do usługi asp.net .asmx WWW
Mogę podzielić metody, które chciałbym publicznie udostępnić, a te "ukryte" na 2 serwisy internetowe. Jak mogę blokować połączenia do usługi WWW "hidden'.asmx" do tej samej domeny, w której znajduje się serwer?
Z góry dziękuję.
Edit: Czy ktoś może wypowiedzieć się na temat tego, wydaje się prawdopodobne (źródło: http://www.slideshare.net/simon/web-security-horror-stories-presentation): Ajax można ustawić nagłówki HTTP, normalne formy cant. Żądania Ajaxa muszą pochodzić z tej samej domeny.
Żądania "x-requested-with" "XMLHttpRequest" muszą pochodzić z tej samej domeny.
Czy masz konkretne pytanie dotyczące tej prezentacji? Wszystko jest bezwarunkowo wykorzystywane do naruszania bezpieczeństwa witryn, ale dzięki podstawowym zabezpieczeniom jesteś bezpieczny. –
Tak, to jest ta część, w której jest napisane, że możesz polegać na X-requested-with, aby przekazać ci informacje z tej samej domeny, a więc bezpieczne. Ive zadał to samo pytanie gdzie indziej dziś i każdy jest przekonany, że każdy nagłówek http może być sfałszowany. Nie jestem tego taki pewien. ive, Ive rozwiązany to w inny sposób (główny refaktor) – jdee
ale bardzo dziękuję za pomoc. to na pewno postawiło mnie na właściwej drodze do rozwiązania mojego prawdziwego problemu. – jdee