2
如何防止对我的公共WCF soap服务的任何可能的CSRF攻击?阻止对WCF服务的CSRF攻击
我知道主要的解决方案是通过使用CSRF令牌,但我怎么能实现呢?
希望有人给我的想法,或者至少告诉我,WCF不能被CSRF攻击。
A
回答
3
是的,CSRF适用于WCF,如果您有enabled AJAX support for your service。
缓解的一种快速而简单的方法是设置检查自定义标题,如X-Requested-With请求标题。如果未启用CORS,则这些标题无法传递到跨域。
为了进一步加强此解决方案,您还可以设置每个会话的令牌,然后将其传递到头中。见this answer。这将减轻浏览器插件(如Flash和Silverlight)中的漏洞,前者之前曾遭受过允许跨域设置任意头部的错误,否则应该不允许该错误。
+0
谢谢,但是如果我不使用AspNetCompatibility模式,并且我不需要会话,我该如何应用每个会话的令牌? –
+0
请问您能否通过您的应用程序和体系结构的更多细节更新您的问题?例如什么是你的服务的客户端,因为非web浏览器不需要CSRF保护,并且如果不使用会话,那么为什么你需要CSRF保护? – SilverlightFox
+0
实际上,我的服务的想法是公开分隔的服务,请求跨越不同的域,所以每个应用程序都会要求通过Soap Header可能发送的用户名和密码连接到此服务。所以没有会议在这里适用。 –
相关问题
- 1. 是否可以使用webHttpBinding对WCF服务执行CSRF攻击?
- 2. WCF服务和POODLE攻击
- 3. 防止ASP.NET MVC中的CSRF攻击
- 4. 防止jQuery的CSRF和XSRF攻击$ .post
- 5. ModSecurity不会阻止攻击
- 6. 在grails中防止CSRF攻击?
- 7. 如何防止以下CSRF攻击Oauth2?
- 8. Web安全:防止CSRF攻击
- 9. HTTPS是否可以防止CSRF攻击?
- 10. 你如何防止特定CSRF攻击
- 11. php防止csrf攻击多次提交
- 12. 防止csrf攻击在modx formit
- 13. 模拟CSRF攻击
- 14. 阻止IP地址,防止DoS攻击
- 15. 如何阻止.htacces中的攻击者?
- 16. 耗时WCF服务调用阻止其他WCF服务调用。
- 17. 防止WCF调用中的XSS攻击
- 18. CSRF攻击和饼干
- 19. Meteor.js和CSRF/XSS攻击
- 20. 如何演示CSRF攻击
- 21. Spring Security和CSRF攻击
- 22. 防止针对Apache的HTTP(s)拒绝服务攻击
- 23. 您如何防止对RESTful数据服务的暴力攻击
- 24. SOAP web服务是否容易受到CSRF攻击?
- 25. Windows防火墙阻止WCF服务
- 26. AspNetCompatibilityRequirements导致WCF网络服务阻止
- 27. 阻止HTTP响应分裂攻击
- 28. ASP.Net模块阻止DOS攻击
- 29. 从控制台阻止js攻击
- 30. 防止CSRF攻击的PUT和DELETE请求的ASP.NET Web API
WCF服务在浏览器中无法使用。因此,这种攻击没有发生。 –
@TomRedfern:不是这样的:https://msdn.microsoft.com/en-us/library/bb924552(v=vs.110).aspx – SilverlightFox
@SilverlightFox - 我似乎会纠正! –