我开始使用ASP.NET Ajax。根据{{3}}建议,我总是假设任何事情都可以来自客户端(包括虚假请求)。
我很难解决的一个问题是用户身份验证。由于我们使用.NET的内置会话状态管理机制,我对Web服务存在哪些安全风险有点无知。
我需要做些什么才能确定用户是他所说的人(以合理的概率)?正在使用
[WebMethod(EnableSession = true)]
足够?
由于
答案 0 :(得分:2)
这就是确保方法中的Session对象可用的方法。如果要确保它们已通过身份验证,请在web.config中配置它
<location path="MyService.asmx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>