私はASP.net(c#)ページ "doSomething.ashx"にXMLHTTPリクエストを行う古典的なASPページを持っています。両方とも同じサーバー上にホストされています。保証要求がローカルサーバーから来た
悪意のあるユーザーがdoSomething.ashxページにアクセスして偽のリクエストをしないようにするには、リクエストがローカルサーバーから送信されることをどのようにして保証できますか?
編集:ちょうど同様
HttpContext.Current.Request.IsLocal
仕事:私はを通じてユーザー名+ PWを渡ししますが、可能性が忘れてしまった
愚かな?または、これは創造的なハッカーに苦しむことができますか?
、プロパティがあります:
context.Request.IsLocal
要求が同じマシンから来ている場合は、このブール値がtrueであります!
MSDNドキュメント:
+1。誰かが本当にあなたのIPスタックをborksしない限り、これは動作します。しかし、ローカルホストに対してのみ信頼性があります。 127.0.0を偽造している別のコンピュータからHTTPリクエストを行う方法はありません(tcpネゴシエーションは失敗します)。 – TomTom
理論的には、この方法で認証する必要はありませんか? –
XMLHTTPリクエストを行っている場合は、クライアントブラウザとユーザIPを使用して行われます。 IPがローカルではないので、これは失敗します。代わりにセッショントークンを使用してください。 –
シンプルに、要求を認証します。
HttpContext.Current.Request.IsLocalは動作しますか? –
私は正直に分かりませんが、私はそれに頼るつもりはありません。私の推測は、IPアドレスをチェックすることです。おそらくそれをしないのが最善です。または、少なくとも、真の認証との組み合わせでのみ行うことを検討してください。とにかく将来あなたを助け、達成しようとしていることを説明します。 –
そのリクエスト/セッションに固有のトークンを追加する必要があります。 認証されているだけであれば、その人が詳細を持っていてもそのユーザーから「偽造」されている可能性があります。
「既知の」トークンを有効期限付きでチェックするか、セッションベースのシステムを使用して、要求ハンドラで有効であることを確認することができます。
トークンだけを使用している場合。要求を行うページを送信するときにサーバー上で生成する必要があり、要求自体を処理するときにチェックされます。 HttpRequestオブジェクトで
あなたが要求に、いくつかの認証を追加することを考えたことがありますか?あなたのリクエストでは、HTTP経由か、またはuid/pwdの組み合わせを使用しますか? – Lazarus
Dohありがとう!それは動作します –