我使用wcf-ui服务在我的javacscript(jquery(和服务器端代码之间进行通信。我觉得这项工作很有效。
不过我想让它更安全。我可以设置wcf,以便只能从同一域内对服务进行请求,以防止外部客户端对我的服务进行此类请求。
例如,我的服务操作url是http://www.website.com/Service.svc/GetProducts.我想设置wcf,以便只有来自http://www.website.com允许。我认为这是跨域wcf请求的领域,但在设置时需要一些帮助。帮助会很好。
如果您的服务暴露在web上,这是不可能的。
如果你的服务不够安全,你应该考虑解决这个问题,而不是试图阻止人们提出请求。
任何人都可以使用Fiddler、Charles等调试代理或WireShark等工具向您的服务发送他们想要的任何数据,包括通过浏览器发出的请求的完整回放。(包括referrer http头等(。
如果您的情况允许,也许您可以考虑使用VPN设备或类似设备,并限制网络内用户的访问(或通过VPN进入(。这样就减少了对服务安全的担忧然而众所周知,"内部攻击者"与外部攻击者一样普遍,甚至更普遍。。。所以不要太舒服。
让我也在传球时把这场争论引开;有人可能认为浏览器已经阻止了这样的跨站点脚本。是的,这是真的。但通常是另一个应用程序的开发人员添加客户端脚本来调用这些服务,他/她也可以很容易地在服务器端发出请求,并将结果代理到客户端。