RESTフルWebサービスに関するセキュリティ上の懸念

Question

技術：C＃.NET、REST完全Webサービス、ASMX Webサービス。

既存のASMX WebサービスをRESTフル・サービスに移植しています。これは、SOAPラッピングが生成されているオーバヘッドと、帯域幅のクランチを持つクライアントのほとんどを遮断するために行われます。これにより、オーバーヘッドを減らし、パフォーマンスをほとんど向上させることができました（サーバーから膨大なデータを取得する際のメジャーではありません）。

RESTは純粋なHTTPコールであるため（パラメータ値の送信と戻り型のシリアライズ/デシリアライズを行っています）、セキュリティパラメータと実装はASMX WebServicesの場合とは異なります。

REST実装では、HTTPハンドラを作成し、URLからWebMethod名を渡しました（ただし、パラメータはStreamとして渡されます）。この上の任意の提案は非常に参考になります

..

おかげ

Answer 1

RESTは、データ形式を指定していないか、直列化がどのように行われます。これは、HTTPがRFC仕様で構築され、記述されている方法でHTTPを使用していることを示しています。

セキュリティの問題は、すべて自分の実装に依存します。あなたのための

チェックリスト：あなたがシリアライズ/デシリアライゼーションのを処理するにはどうすればよい

• ？
• 誰が何を呼び出せますか？
• 提出されたデータをどのように検証しますか？

これを実行すると、安全なサービスが提供されます。