jQuery、AJAX、Webサービスを使用する際に機密データを保護する方法

Question

私たちは非常にユニークなデータベースを持っており、12ヶ月以上一緒に保管しています。サービスとAJAX。

Webサービス用に.NET 4.0、jQuery 1.6およびC＃を使用しています。

あなたのコードとデータベースを盗み見から守るための最良の方法はなんですか？

1.私たちのページからのリクエストに対してのみデータベースがレコードで応答することを確認するにはどうすればよいですか？

• 外部JSリクエストとAjaxリクエストのリクエストをブロックすることはできますか？
• 我々はこれだけ我々は、ハッシュは、我々は、HTMLフィルタの組み合わせですべての<select>を通過するからロボットを停止する必要が
有効であるかどうかを知って、私たちはに誰かを買う余裕はない、秘密鍵でハッシュして、いくつかのセッションを生成する必要がありますか自動的に縮小化とconfuscate JSコード、それは可能な限り困難な他の人が解読できるようにすることにする最良の方法は何すべての組み合わせを読み、データベース

2に結果を保存しますロボットを開発したのですか？

ありがとうございます。

Answer 1

1. どのように私は、データベースが唯一のページから の要求にレコードで応答していることを確認していますか？

外部JSリクエストとAjaxリクエストのリクエストをブロックすることはできますか？

はい、request referrer（Request.URLReferrer.Host.ToString）をご覧ください。自分のページでない場合は、リクエストを受け入れないでください。

はこれだけ 我々はハッシュが

という点でも害有効であるかどうかを知って、私たちは秘密鍵でハッシュといくつかのセッションを生成する必要があります。クッキーを使う方が簡単です。 cookie =ログインページにリダイレクトしません。 Cookieの値は、とにかくランダムなキーです。我々は、すべてのHTMLで フィルタの組み合わせを通過するからロボットを停止する必要が

、我々は が自動的にすべての組み合わせを読み、データベース

置くために結果を保存しますロボットを開発するために誰かを買う余裕はありませんこれはログインの背後にある。これは、ボットとログインの誰かを停止しません。

は、他の人が解読するために、可能な限りそれ がAS困難にするために、最善の縮小化するための方法およびconfuscate JSコードは何ですか？

そうすることに意味はありません。実行するためにはすべてデコードする必要があり、そのコードを自分のコードに組み込む必要があります。

一般的には：人々がそれを盗むことを望まない場合は、WWWに置かないでください。

Answer 2

私はリファラやクッキーは、洗練されたボット（http referrer spoofingmore info）からあなたを守ることができれば、私は

• があなたに認証を追加すると言うでしょうアヤックス

  とcross domain queryingを加えるかもしれないことを確認していませんWebサイト（spring security）

• また、end point securityをWebサービスに追加することもできます。
• I私のプロジェクトの1つでトークンが期限切れになったようなことがいくつかありました。ユーザが特定の時間に期限切れになるトークンを取得すると、