2
如何防止對我的公共WCF soap服務的任何可能的CSRF攻擊?阻止對WCF服務的CSRF攻擊
我知道主要的解決方案是通過使用CSRF令牌,但我怎麼能實現呢?
希望有人給我的想法,或者至少告訴我,WCF不能被CSRF攻擊。
A
回答
3
是的,CSRF適用於WCF,如果您有enabled AJAX support for your service。
緩解的一種快速而簡單的方法是設置檢查自定義標題,如X-Requested-With請求標題。如果未啓用CORS,則這些標題無法傳遞到跨域。
爲了進一步加強此解決方案,您還可以設置每個會話的令牌,然後將其傳遞到頭中。見this answer。這將減輕瀏覽器插件(如Flash和Silverlight)中的漏洞,前者之前曾遭受過允許跨域設置任意頭部的錯誤,否則應該不允許該錯誤。
+0
謝謝,但是如果我不使用AspNetCompatibility模式,並且我不需要會話,我該如何應用每個會話的令牌? –
+0
請問您能否通過您的應用程序和體系結構的更多細節更新您的問題?例如什麼是你的服務的客戶端,因爲非web瀏覽器不需要CSRF保護,並且如果不使用會話,那麼爲什麼你需要CSRF保護? – SilverlightFox
+0
實際上,我的服務的想法是公開分隔的服務,請求跨越不同的域,所以每個應用程序都會要求通過Soap Header可能發送的用戶名和密碼連接到此服務。所以沒有會議在這裏適用。 –
相關問題
- 1. WCF服務和POODLE攻擊
- 2. 防止jQuery的CSRF和XSRF攻擊$ .post
- 3. 防止ASP.NET MVC中的CSRF攻擊
- 4. 你如何防止特定CSRF攻擊
- 5. php防止csrf攻擊多次提交
- 6. 防止csrf攻擊在modx formit
- 7. 在grails中防止CSRF攻擊?
- 8. 阻止IP地址,防止DoS攻擊
- 9. 如何阻止.htacces中的攻擊者?
- 10. 防止WCF調用中的XSS攻擊
- 11. Spring Security和CSRF攻擊
- 12. CSRF攻擊和餅乾
- 13. 您如何防止對RESTful數據服務的暴力攻擊
- 14. SOAP web服務是否容易受到CSRF攻擊?
- 15. ASP.Net模塊阻止DOS攻擊
- 16. Windows防火牆阻止WCF服務
- 17. AspNetCompatibilityRequirements導致WCF網絡服務阻止
- 18. 如何通過域名攻擊一個網站來阻止服務器
- 19. 如何防止涉及嵌入式iframe的CSRF/XSRF攻擊?
- 20. 如何防止ajax應用程序中的CSRF攻擊
- 21. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊?
- 22. 處理來自AWS Lambda的CSRF攻擊?
- 23. SecurityID不匹配,可能的CSRF攻擊
- 24. WCF雙工服務阻止其他服務呼叫
- 25. 防止在PHP中針對多個瀏覽器標籤的CSRF攻擊
- 26. 狀態參數如何防止CSRF攻擊
- 27. 如何防止春季mvc CSRF攻擊4
- 28. 防止對JBoss 4.2的XXE攻擊4.2
- 29. ViewStateUserKey無法阻止CSRF?
- 30. 消息:檢測到CSRF攻擊
WCF服務在瀏覽器中無法使用。因此,這種攻擊沒有發生。 –
@TomRedfern:不是這樣的:https://msdn.microsoft.com/en-us/library/bb924552(v=vs.110).aspx – SilverlightFox
@SilverlightFox - 我似乎會糾正! –