私はSilverlight 4アプリケーションから使いたい第三者のAPIを持っています。インターフェイスは、フォーム変数を使用した単なるWebリクエスト(WEB SERVICEではありません)です。私が読んだことすべてによると、これはセキュリティの問題のために可能ではありませんか?セキュリティ上の問題は何ですか?これを行う方法はありませんか?私はこれをWebサービスで許可しないことを理解することができますが、単純なWeb要求では理解できますか?データは非常に敏感であるため、SilverlightからセカンダリドメインにWebRequestを作成できないのはなぜですか?
は、私は私のRIAサービスゲートウェイを使用することはできませんし、私がすることはできません(とする必要はありません)私自身のSSL証明書の下でそれを送信します。ばかげてる!
Cross Site Request Forgery(XSRF)を停止します。この対策がなければ、攻撃者がユーザーの代わりにオンラインバンキングサイト(または任意のサイト)に要求を発行するのを止めるのは何ですか?事実を利用して、リクエストを通過させるクッキーが保存されている可能性があります。
それは私が多くの有用な、悪意のない、Web要求を送信するために使用しています見ることができるよう、インターネットは、仮定有罪が証明されるまで無実な状況になった残念です。
同じセキュリティ問題がAdobe Flashに適用されます。 JavaScriptでは、まったく不可能です。
Silverlightの場合、Webサイトのルートには、呼び出しを許可するclientaccesspolicy.xmlが含まれている必要があります。
http://msdn.microsoft.com/en-us/library/cc197955%28v=vs.95%29.aspx
これはセキュリティ上の脅威である理由はまだ分かりませんが、 Silverlightアプリケーションまたは他のドメインのユーザーに損害を与える可能性があるのは何ですか? – Jordan
ああ!それは理にかなっている。私はSilverlightアプリケーションをダウンロードしたクライアントのように思っていましたが、そうではありません。ユーザーはウェブサイトを知っている限り、ダウンロードしていません。いいえ? – Jordan
@Jorday、はい、そうです。 XSRFは、ユーザーが広告をクリックしたり、サイト上のユーザーを登録したり、ユーザーがそれが起こっていることを知らずにWebフォームを基にしたりするためにも使用できます。あなたのウェブサイトが「信頼できるサイト」に置かれているか、暗黙のうちに信頼されているイントラネット上にある場合、この銀色のセキュリティ機能を回避することができます。 –