Как скрыть конечную точку API веб-службы .asmx в исходном коде?

Question

Как скрыть конечную точку API веб-службы .asmx в исходном коде?

1

Я вызываю службу.asmx из внутреннего тега скрипта на странице aspx. Когда я просматриваю источник страницы, он показывает мой веб-сервис.

Как защитить веб-сервис от разоблачения? потому что, когда кто-то просматривает источник страницы, он может видеть имя веб-службы, а также имя всех методов.

.aspx Страница:

<asp:PlaceHolder ID="divBody" runat="server">
        <div class="aa-dashboard-wrapper">
            <asp:Textbox id="textbox1" runat="server"></asp:Textbox> 
        </div>
</asp:PlaceHolder>

Вот мой тег сценария, который помещен в нижней части моей страницы aspx.

    $("#textbox1").autocomplete({
                source: function (request, response) {
                    $.ajax({
                        url: '<%=ResolveUrl("~/WebService.asmx/webServiceMethod") %>',
                        data: "{ 'keyword': '" + request.term + "'}",
                        dataType: "json",
                        timeout: 20000,
                        type: "POST",
                        contentType: "application/json; charset=utf-8",
                        success: function (data) {
                        },
                        error: function (response) {

                        },
                        failure: function (response) {

                        }
                    });
                },
                select: function (e, i) {

                },
                minLength: 2
            })

</script>

Muahmmad Haris Khan 27 авг. 2014, в 12:02

Источник

0

Веб-сервис вызывается из браузера пользователя с помощью ajax-запроса, если он не доступен для общественности, как вы ожидаете, что он будет работать?
Ben Robinson 27 авг. 2014, в 09:29
0

я могу закодировать его имя? по этому он может не увидеть имя службы asmx?
Muahmmad Haris Khan 27 авг. 2014, в 10:13
0

В конечном итоге браузер пользователя отправляет http-запрос к вашему веб-сервису, даже если вы запутываете конечную точку, все, что нужно сделать пользователю, это запустить инструменты разработчика браузеров или использовать что-то вроде fiddler, и они смогут видеть запросы. Что ты пытаешься скрыть? почему важно, чтобы пользователь мог видеть конечную точку вашего веб-сервиса? Если пользователь, создающий свои собственные звонки в службу, является проблемой, то у вас есть фундаментальная проблема безопасности с веб-службой.
Ben Robinson 27 авг. 2014, в 10:18
0

Это действительно полезно! Спасибо! @BenRobinson
Muahmmad Haris Khan 27 авг. 2014, в 10:20
0

Если вы дадите более подробную информацию о том, что вы пытаетесь обезопасить и почему я мог бы предложить более полезный совет. Есть шаги, которые вы можете предпринять, чтобы убедиться, что ваша веб-служба максимально безопасна, например, вы можете сохранить токен безопасности в кокке, а затем проверить, что токен безопасности соответствует известному значению, это помогает защитить от уязвимостей XSRF, гарантируя, что запрос сделано пользователем на вашем сайте, а не каким-то другим злым сайтом :-)
Ben Robinson 27 авг. 2014, в 10:38

Показать ещё 3 комментария

Теги:

c#

asp.net

web-services

asp.net-ajax

3 ответа

Ещё вопросы

Веб-сервис вызывается из браузера пользователя с помощью ajax-запроса, если он не доступен для общественности, как вы ожидаете, что он будет работать?
я могу закодировать его имя? по этому он может не увидеть имя службы asmx?
В конечном итоге браузер пользователя отправляет http-запрос к вашему веб-сервису, даже если вы запутываете конечную точку, все, что нужно сделать пользователю, это запустить инструменты разработчика браузеров или использовать что-то вроде fiddler, и они смогут видеть запросы. Что ты пытаешься скрыть? почему важно, чтобы пользователь мог видеть конечную точку вашего веб-сервиса? Если пользователь, создающий свои собственные звонки в службу, является проблемой, то у вас есть фундаментальная проблема безопасности с веб-службой.
Это действительно полезно! Спасибо! @BenRobinson
Если вы дадите более подробную информацию о том, что вы пытаетесь обезопасить и почему я мог бы предложить более полезный совет. Есть шаги, которые вы можете предпринять, чтобы убедиться, что ваша веб-служба максимально безопасна, например, вы можете сохранить токен безопасности в кокке, а затем проверить, что токен безопасности соответствует известному значению, это помогает защитить от уязвимостей XSRF, гарантируя, что запрос сделано пользователем на вашем сайте, а не каким-то другим злым сайтом :-)

Psychemaster · Answer 1 · 2014-08-27T08-12-00.000Z

Хотя вы не можете запретить пользователям просматривать URL-адрес вашего сервиса, вы можете остановить их просмотр документации для него - просто поместите это в тег system.web вашего web.config

<webServices>
    <protocols>
        <remove name="Documentation" />
    </protocols>
</webServices>

См. Https://support.microsoft.com/en-us/kb/815149 в разделе "Удаление протокола документации".

Sergey · Answer 2 · 2014-08-27T08-16-00.000Z

Невозможно полностью скрыть конечные точки API от кого-то, кто хочет его найти. Даже если вы каким-то образом запутаете вызов этого в некоторой конструкции javascript, он все равно будет отображаться в веб-инспекторе Chrome. И на самом базовом уровне я все еще вижу это, когда перехватываю связь с пакетными снифферами.

Raghu · Answer 3 · 2014-08-27T06-32-00.000Z

Лучший способ - иметь JS файл и разместить там AJAX-вызов. Даже в этом случае пользователь может просматривать и просматривать JS, но шансов немного меньше.