SignalRで読み取り専用のブロードキャストビューを取得する方法

Question

サーバからの内部プロセスからのメッセージのみを発信し、クライアントに送信し、SignalRの柔軟性のために、XSSが簡単にメッセージ「myhub」を送信できるかどうか心配です。 addMessage "と私が放送したくないゴミを送りなさい。例えば、私はSignalR Hubからのメッセージを聞いているページに50人の人がいます。彼らはGUIを介してメッセージを送信する明示的な方法を持っていませんが、ハーフウィットは簡単に一緒にいくつかのスクリプトをハックし、すべての人が見るためにメッセージを送信し始めることができます。

他の言葉でチャットルームを持つようなものですが、人々がメッセージを送信しないようにしたいとします。あなたは彼らに聞きたいだけです。意味がありますか？

Answer 1

ハブからAddMessageメソッドを削除します。

これは本当にそれです。

ウェブからまだ機能が必要な場合は、チェックするために何らかの種類のセキュリティを設定する必要があります。 SingalRにはこれがまだ組み込まれていません。

または、ウェブの外部からしか必要としない場合（サーバーがイベントを公開しているとします）、ハブメソッドの外側がうまくいきます（ページ下部のハブの外部からのハブを介したブロードキャスト： https://github.com/SignalR/SignalR/wiki/Hubs）

もう1つの方法は、特定のアクションの開始時に認証を確認することです。あなたはクッキーにアクセスできます。しかし、私はそれを使用しないので、通常のメンバーシップシステムについてはわかりません。あなたはクッキーへのアクセス権を持っているので、ここで私が認証に使用していたパターンです：

public SomeHub : Hub 
{ 
    public void RandomAction() 
    { 
     if(!CheckCookie("Role Required")) 
     { 
      //In here we have what happens when there is 
      // a cookie that is associated with the right Role Required 
     } 
    } 
} 

あなたがCheckCookieのメンバーシップシステムを使用することができるかもしれない、しかし、これは役立つかもしれない：

string CookieName = "Website Authentication"; 
    string vReturn = null; 
    HttpCookie vCookie = null; 
    if(HttpContext.Current.Request.Cookies.AllKeys.Any(t => t == CookieName)) 
     vCookie = HttpContext.Current.Request.Cookies[CookieName]; 
    if(vCookie != null) 
     vReturn = FormsAuthentication.Decrypt(vCookie.Value).Name; 
    return vReturn; 

メンバーシップをクッキー名はそうではありません、それはただのフィラーです。