私はjQueryの$.ajax()
を使ってJavaScriptから呼び出すWebサービス(ASP.NET 2.0)を持っています。私はセキュリティのためにセッションキーがこのような状況でノンスとしてよく使われると言われました。 Webサービスはそのパラメータの1つとしてキーを受け取り、現在のセッションキーと一致する場合にのみデータを返します。WebサービスセキュリティのASP.NETセッションキー?
これは、すべてのPage_Load
(つまり、すべてのポストバック)で非表示フィールドの値を現在のSessionIDに設定してから、javascriptでパラメータとして渡すようにしています。しかし、Webサービスの現在の鍵(Context.Session.SessionID
)と同じ鍵ではありません。
これは解決することは可能ですか、これを別の方法で行う必要がありますか?
EDIT:要求されたとおりに非表示フィールドにセッションを設定するコード。 (すなわちif (!Page.IsPostBack)
に包まれていない。あなたはセッション状態を使用するまで
:ここ
は、この種の攻撃を防ぐ上でより多くの情報を持つ別の質問へのリンクありすべてのPage_Load(つまり、すべてのポストバック)に " – shashi
@sassyboy - done。 –