最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
转贴:关于安全的建议:对投入使用的 XML Web Services 禁用 HTTP-GET 和 H
时间:2008-01-12 编辑:简简单单 来源:一聚教程网
关于安全的建议:对投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议
Microsoft Corporation
2002 年 2 月
摘要:出于安全原因,Web service 操作人员可能需要对 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息处理协议。禁用这些协议有助于防止外部 Web 站点与您的 Intranet 上的 XML Web services 进行恶意通信。
目录简介 对基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议 禁用 HTTP-GET 和/或 HTTP-POST 的影响 总结 简介
由于 HTTP-GET 和 HTTP-POST 消息处理协议的固有功能,在某些条件下,恶意 Web 页可以使用它所定义的参数调用在防火墙后面运行的 XML Web service。这与某些基于 HTTP-GET 的恶意重定向问题类似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息处理协议(对于使用 ASP.NET 创建的 XML Web services,将默认启用这些协议)进行通信,就可能会发生此类安全问题。
尽管使用 HTTP-POST 创建恶意 Web 页并不容易,但如果 XML Web services 没有使用 HTTP-GET 和 HTTP-POST 消息处理协议,还是应该在提供用 ASP.NET 创建的 XML Web services 的生产用计算机上禁用对这两个协议的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
图 1:常见的恶意通信事件步骤说明1位于防火墙后面的 HTTP 客户端(如 Microsoft® Internet Explorer)浏览一个包含链接的恶意 Web 页。
Microsoft Corporation
2002 年 2 月
摘要:出于安全原因,Web service 操作人员可能需要对 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息处理协议。禁用这些协议有助于防止外部 Web 站点与您的 Intranet 上的 XML Web services 进行恶意通信。
目录简介 对基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议 禁用 HTTP-GET 和/或 HTTP-POST 的影响 总结 简介
由于 HTTP-GET 和 HTTP-POST 消息处理协议的固有功能,在某些条件下,恶意 Web 页可以使用它所定义的参数调用在防火墙后面运行的 XML Web service。这与某些基于 HTTP-GET 的恶意重定向问题类似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息处理协议(对于使用 ASP.NET 创建的 XML Web services,将默认启用这些协议)进行通信,就可能会发生此类安全问题。
尽管使用 HTTP-POST 创建恶意 Web 页并不容易,但如果 XML Web services 没有使用 HTTP-GET 和 HTTP-POST 消息处理协议,还是应该在提供用 ASP.NET 创建的 XML Web services 的生产用计算机上禁用对这两个协议的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
图 1:常见的恶意通信事件步骤说明1位于防火墙后面的 HTTP 客户端(如 Microsoft® Internet Explorer)浏览一个包含链接的恶意 Web 页。
相关文章
- C#复制数组的两种方式及效率比较解读 10-24
- ASP.NET Identity用法解析 10-24
- ASP.NET MVC使用Identity增删改查用户介绍 10-24
- C语言中atoi函数模拟实现介绍 10-18
- .Net反向代理组件Yarp用法介绍 10-10
- .NET使用YARP通过编码方式配置域名转发实现反向代理教程 10-10