Ajax访问Xml Web Service的安全问题以及解决方案
2009-07-29 13:50
429 查看
原文:/article/4598935.html
在asp.net ajax中updatepanel比较常用,原本需要刷新的操作套在updatepanel中就成了ajax操作了,挺帅!但ajax也是支[WebMethod]
public bool UserAdd(string userName,string pwd)
注意服务类上部要添加Attribute
[System.Web.Script.Services.ScriptService]
3. 然后把default.aspx中的ScriptManager修改成如下代码的德性:
<asp:ScriptManager ID="ScriptManager1" runat="server">
<Services>
<asp:ServiceReference Path="UserService.asmx" />
</Services>
</asp:ScriptManager>
下面我们就在页面中创建用Ajax消费这个UserService的代码:主要包括如下:
<h2>Ajax调用Xml Web Service示例1</h2>
<div style="border: 1px solid Black; width: 50%; padding: 10px;">
<table class="style1">
<tr>
<td>
用户名:
</td>
<td>
<input id="txtName" type="text" />
</td>
</tr>
<tr>
<td>
密码:
</td>
<td>
<input id="txtPwd" type="password" />
</td>
</tr>
<tr>
<td>
</td>
<td>
<input id="Button2" type="button" value="提交" onclick="userAdd()" />
</td>
</tr>
</table>
</div>
在<head></head>添加如下脚本
function userAdd()
function userAddCallBack(res)
4. 好,现在一个简单的ajax调用web service的示例代码已经搞定,罗索了不少,其实简单的不能再简单,运行页面,点击提交按钮,效果如下:
[WebMethod(EnableSession=true)]
public bool UserAddSecurity(string userName, string pwd)
在页面中将AjaxWs.UserService.UserAdd(name,pwd,userAddCallBack);更改为AjaxWs.UserService.UserAddSecurity(name,pwd,userAddCallBack);点击提交按钮,会发现弹出结果为false!
在页面中添加一个按钮,点击这个按钮模拟登陆,点击代码为:
protected void Button3_Click(object sender, EventArgs e)
点击登陆按钮后,再次点击提交,便可以返回true。 这样便限制了用户对xml web service的访问。达到了解决问题一的目的。
问题二:
这个问题涉及到xml web service架构的缺陷,这个缺陷在WCF中已经有所更正和弥补。我们知道web service是一种强度公开和共享的技术,之所以称之为服务,必然是提供给其他应用程序所使用。但事实上,有很多服务是服务于局部或者特殊个体的,而不是理想中的大众。而在原来老的xml web service中,wsdl的发布与网络服务的发布是绑在一起的,我将.asmx部署到iis中,那在这个.asmx后加上?wsdl就能访问服务的wsdl。wsdl是对服务的描述,知道它,便能开发客户代理,从而消费服务,但这样有问题:我的服务只想让局部或者特殊的几个人知道 ,其他人根本不想让其访问到。这就麻烦了。我发布.asmx,wsdl就发布。而wsdl的发现依靠的是UDDI,通过下面的一段描述:
UDDI 如何被使用
假如行业发布了一个用于航班比率检测和预订的 UDDI 标准,航空公司就可以把它们的服务注册到一个 UDDI 目录中。然后旅行社就能够搜索这个 UDDI 目录以找到航空公司预订界面。当此界面被找到后,旅行社就能够立即与此服务进行通信,这样由于它使用了一套定义良好的预订界面。
如果遍历UDDI目录,不难发现WSDL,发现WSDL后便可以开发客户端与服务交互。这可不是好事情,在问题一中,用授权的方法可以解决一种问题,但假如我的服务是这样的,它返回服务器当前时间,这个方法对于我网站的用户而言是公开的,如果生硬的加上Session,有些麻烦。但这个服务我只希望我自己的ajax能访问,不希望别人发现并调用,但原来的xml web service架构的确不能满足这个需求。如果被一个攻击者发现,他可能会根据公开的wsdl开发客户端,然后不停的DDOS攻击,灾难!
上面这个问题对于原来的web service,我还是没有好的解决方案,当然不代表没有解决方案。有朋友知道,劳烦指教。
但对于WCF架构,就充分考虑到上面这个问题了。看看下面老的Xml Web Service架构与WCF架构之间的对比:
1) 老架构
2) 新架构
区别很明显,老架构MEX与业务耦合度非常高,俨然一体,而新的架构却将两者份将开来,分而不僵,反而会增加灵活性。如果是WCF开发的服务,在发布网站的时候,完全可以通过配置,将MEX终结点去掉,这样就可以解决上面的问题。具体实例下文讨论,有点困了,睡!
附上示例项目:
/Files/jillzhang/AjaxWs.rar
作者:jillzhang
出处:http://jillzhang.cnblogs.com/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
在asp.net ajax中updatepanel比较常用,原本需要刷新的操作套在updatepanel中就成了ajax操作了,挺帅!但ajax也是支[WebMethod]
public bool UserAdd(string userName,string pwd)
注意服务类上部要添加Attribute
[System.Web.Script.Services.ScriptService]
3. 然后把default.aspx中的ScriptManager修改成如下代码的德性:
<asp:ScriptManager ID="ScriptManager1" runat="server">
<Services>
<asp:ServiceReference Path="UserService.asmx" />
</Services>
</asp:ScriptManager>
下面我们就在页面中创建用Ajax消费这个UserService的代码:主要包括如下:
<h2>Ajax调用Xml Web Service示例1</h2>
<div style="border: 1px solid Black; width: 50%; padding: 10px;">
<table class="style1">
<tr>
<td>
用户名:
</td>
<td>
<input id="txtName" type="text" />
</td>
</tr>
<tr>
<td>
密码:
</td>
<td>
<input id="txtPwd" type="password" />
</td>
</tr>
<tr>
<td>
</td>
<td>
<input id="Button2" type="button" value="提交" onclick="userAdd()" />
</td>
</tr>
</table>
</div>
在<head></head>添加如下脚本
function userAdd()
function userAddCallBack(res)
4. 好,现在一个简单的ajax调用web service的示例代码已经搞定,罗索了不少,其实简单的不能再简单,运行页面,点击提交按钮,效果如下:
[WebMethod(EnableSession=true)]
public bool UserAddSecurity(string userName, string pwd)
在页面中将AjaxWs.UserService.UserAdd(name,pwd,userAddCallBack);更改为AjaxWs.UserService.UserAddSecurity(name,pwd,userAddCallBack);点击提交按钮,会发现弹出结果为false!
在页面中添加一个按钮,点击这个按钮模拟登陆,点击代码为:
protected void Button3_Click(object sender, EventArgs e)
点击登陆按钮后,再次点击提交,便可以返回true。 这样便限制了用户对xml web service的访问。达到了解决问题一的目的。
问题二:
这个问题涉及到xml web service架构的缺陷,这个缺陷在WCF中已经有所更正和弥补。我们知道web service是一种强度公开和共享的技术,之所以称之为服务,必然是提供给其他应用程序所使用。但事实上,有很多服务是服务于局部或者特殊个体的,而不是理想中的大众。而在原来老的xml web service中,wsdl的发布与网络服务的发布是绑在一起的,我将.asmx部署到iis中,那在这个.asmx后加上?wsdl就能访问服务的wsdl。wsdl是对服务的描述,知道它,便能开发客户代理,从而消费服务,但这样有问题:我的服务只想让局部或者特殊的几个人知道 ,其他人根本不想让其访问到。这就麻烦了。我发布.asmx,wsdl就发布。而wsdl的发现依靠的是UDDI,通过下面的一段描述:
UDDI 如何被使用
假如行业发布了一个用于航班比率检测和预订的 UDDI 标准,航空公司就可以把它们的服务注册到一个 UDDI 目录中。然后旅行社就能够搜索这个 UDDI 目录以找到航空公司预订界面。当此界面被找到后,旅行社就能够立即与此服务进行通信,这样由于它使用了一套定义良好的预订界面。
如果遍历UDDI目录,不难发现WSDL,发现WSDL后便可以开发客户端与服务交互。这可不是好事情,在问题一中,用授权的方法可以解决一种问题,但假如我的服务是这样的,它返回服务器当前时间,这个方法对于我网站的用户而言是公开的,如果生硬的加上Session,有些麻烦。但这个服务我只希望我自己的ajax能访问,不希望别人发现并调用,但原来的xml web service架构的确不能满足这个需求。如果被一个攻击者发现,他可能会根据公开的wsdl开发客户端,然后不停的DDOS攻击,灾难!
上面这个问题对于原来的web service,我还是没有好的解决方案,当然不代表没有解决方案。有朋友知道,劳烦指教。
但对于WCF架构,就充分考虑到上面这个问题了。看看下面老的Xml Web Service架构与WCF架构之间的对比:
1) 老架构
2) 新架构
区别很明显,老架构MEX与业务耦合度非常高,俨然一体,而新的架构却将两者份将开来,分而不僵,反而会增加灵活性。如果是WCF开发的服务,在发布网站的时候,完全可以通过配置,将MEX终结点去掉,这样就可以解决上面的问题。具体实例下文讨论,有点困了,睡!
附上示例项目:
/Files/jillzhang/AjaxWs.rar
作者:jillzhang
出处:http://jillzhang.cnblogs.com/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Ajax访问Xml Web Service的安全问题以及解决方案
- Ajax访问Xml Web Service的安全问题以及解决方案
- Ajax访问Xml Web Service的安全问题以及解决方案
- Ajax访问Xml Web Service的安全问题以及解决方案
- Ajax访问Xml Web Service的安全问题以及解决方案
- JAX-RS开发(三):ajax访问REST服务时的跨域问题以及jsonp解决方案
- Mysql的事务和事务的隔离级别,读写引发的安全问题以及解决方案
- 现存问题以及解决方案:在ASP.NET AJAX中从客户端向服务器端传送DataTable
- web.xml文件中缺省映射路径"/"问题以及客户端访问web资源的匹配规则
- ajax跨域问题以及解决方案
- Jquery ajaxSubmit()使用案例以及遇到的问题解决方案
- 现存问题以及解决方案:在ASP.NET AJAX客户端得到服务器端的DataTable
- JSP嵌入FLEX SWF文件出现安全水箱,跨域访问的问题解决方案
- 解决ajax程序访问服务器返回的XML文件时, firebug出现: XML 解析错误问题
- C程序访问hadoop运行时遇到的各种问题以及解决方案(环境变量不被sudo继承)
- ASP.NET AJAX(Atlas)现存的一些常见问题以及解决方案[持续更新]
- 现存问题以及解决方案:在ASP.NET AJAX客户端得到服务器端的DataTable
- ajax跨域问题以及解决方案
- js中,for循环里面放ajax,ajax访问不到变量以及每次循环获取不到数据问题总结
- IDEA中Tomcat相关——如无法访问localhost:8080欢迎页面,无法配置web.xml以及server.xml,设置download.xml下载目录无效等问题