我正在构建一个项目,该项目使用jQuery与sharepoint中托管的单个Web服务进行通信(这一点可能没什么问题,但我将其包含在后台,并强调在多个前端环境中会话状态不好)
Web服务是ASP.Net ASMX服务,它返回一个JSON模型,然后使用Knockout映射到UI。为了保存表单,反之亦然 - 将JSON模型发送回服务并保持不变。
客户已公布要求对发送至服务器或从服务器发送的数据的机密性的要求:
缺乏构建专有安全性,保护Web服务的最佳方法是什么,是否有任何其他库我应该帮助我 - 无论是使用JavaScript还是.Net
答案 0 :(得分:1)
我会发布这个作为答案......对于积分的可能性:),但我不知道你可以很容易地说有一个“正确的方法”来做到这一点。
发送给服务的通信当然应该是https。这限制了中间人攻击。我总是检查发送客户端的IP是否与主机头中的IP地址相同。这可能是欺骗,但它让它更烦人:)。此外,我在发送到客户端之前为所有JSON添加时间戳,然后确保它在服务器上的X秒内。这有助于防止播放攻击。
显然,JavaScript是不安全的,你总是需要牢记这一点。
希望这会给你一点点洞察力。我正在写一篇关于我一直在使用的这种模式的博客文章。它可能会对你有所帮助,但它没有完成:(。我会在今晚或明天的某个时间发布一个链接。