我有一个系统,它使用对.ASMX Web服务的Jquery AJAX调用进行内部和无状态使用。例如,按下按钮后,将启动Jquery调用以插入新用户)。
现在的问题是,用户动态插入了Jquery AJAX调用。用户可以决定要放置的Javascript代码,因此他可以在Web服务中调用AddUser()函数,或执行其他操作。然后,该代码段被动态插入,并且该按钮会将用户编写的所有Javascript添加到HTML内容中。
如果用户决定调用Jquery并专门添加代码以调用WS中的AddUser()函数,那么我该如何安全地做到这一点?如何确保此AJAX请求来自同一域?我知道每个HTTP请求标头都可以操纵,因此如何确保AJAX调用来自同一站点?我提醒您,该Web服务的目的是供系统内部使用-因此,我不希望外部用户读取JS代码并将其复制为添加用户的次数!
我不想使用令牌或标识。这是一个无状态的请求,我只想添加一个用户,但可以控制谁在拨打电话。
我很乐意得到任何建议。先感谢您!
我认为你不能。您可以添加某种身份验证(如果站点上有一个身份验证,则可以使用相同的身份验证),也可以在随AJAX请求发送的页面上呈现令牌。当然,在两种情况下,您都添加了某种形式的状态,但是在我看来,从同一站点发起请求的要求是跟踪状态的要求。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句