[摘要]关于安全的建议:对投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议 Microsoft Corporation 2002 年 2 月 摘要:出于安全原因,Web service 操作人员可能需要对 XML Web services 禁用 HTTP-...
关于安全的建议:对投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议
Microsoft Corporation
2002 年 2 月
摘要:出于安全原因,Web service 操作人员可能需要对 XML Web services 禁用 HTTP-GET 和 HTTP-POST 消息处理协议。禁用这些协议有助于防止外部 Web 站点与您的 Intranet 上的 XML Web services 进行恶意通信。
目录
- 简介
- 对基于 ASP.NET 的 XML Web Services 禁用 HTTP-GET 和 HTTP-POST 协议
- 禁用 HTTP-GET 和/或 HTTP-POST 的影响
- 总结
简介
由于 HTTP-GET 和 HTTP-POST 消息处理协议的固有功能,在某些条件下,恶意 Web 页可以使用它所定义的参数调用在防火墙后面运行的 XML Web service。这与某些基于 HTTP-GET 的恶意重定向问题类似。如果 XML Web service 支持使用 HTTP-GET 或 HTTP-POST 消息处理协议(对于使用 ASP.NET 创建的 XML Web services,将默认启用这些协议)进行通信,就可能会发生此类安全问题。
尽管使用 HTTP-POST 创建恶意 Web 页并不容易,但如果 XML Web services 没有使用 HTTP-GET 和 HTTP-POST 消息处理协议,还是应该在提供用 ASP.NET 创建的 XML Web services 的生产用计算机上禁用对这两个协议的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
图 1:常见的恶意通信事件……