昨天我从一位同事那里得到了一个关于Silverlight的跨域访问策略机制的问题。我以前没用过,所以我读了一下。我认为我确实理解如何配置它,但我不了解安全隐患。
例如,如果我有以下设置:
在这种情况下,otherite的clientaccess策略可以使某个站点的silverlight-app使用othersite.com/service.svc服务。根据{{3}},这是对服务的保证,它是安全的:
通过选择加入,服务说明了这一点 它所暴露的操作可以安全地进行 由Silverlight控件调用, 没有潜在的破坏性 对数据的后果 服务店。
我不明白这是如何提供任何真正的安全利益的。该服务只是另一种soap服务,可以使用任何精心设计的调用参数从任何soap客户端调用。如果我针对MSDN启动wcftestclient,我可以绕过clientaccesspolicy.xml并做任何我想做的事。
那么,clientaccesspolicy.xml真正添加了什么安全性?
答案 0 :(得分:2)
防止Cross Site Request Forgery可以代表用户执行magicioius Silverlight应用程序。{p>拥有properly configured clientaccesspolicy.xml可确保请求来自受信任的Silverlight应用程序。
就直接调用服务而言,通常应该使用身份验证来保护修改服务器上资源的方法,以确保只有授权用户才能调用它们。