Web 服务的垃圾邮件能力和安全性

Question

我正在构建一个 ASP.NET Web 应用程序，该应用程序有许多表单供公共用户注册并输入要保存到数据库中的数据。我一直想更深入地了解真正的 AJAX，因此我将许多事务编写为 RESTful WCF Web 服务。新用户注册、用户登录和简单表单提交等事务都是通过 AJAX 完成的。

在进行代码审查后，一名团队成员反对这种方法，理由是：

“它的安全性不如完全回发，因为 .NET 具有像 ViewState 这样的‘安全措施’来防止滥用客户端攻击服务器。”

• 这个论点有道理吗？
• 使用 RESTful Web 服务使我的应用程序遭受滥用的风险比使用完整回发的情况要多得多？

我不一定要寻找 . NET、WCF 甚至 ViewState 的特定响应，尽管这些响应肯定与我的特定情况更相关。我正在寻找解决技术方法本身的答案，而不是它们的实现。可以在不验证授权的情况下修改任何用户帐户的 Web 服务显然是一个糟糕的实现。 “完整回发”页面的实现同样很差。因此，这个论点既不存在，也不存在。

RESTful Web 服务（或一般的 Web 服务）是否存在任何固有的因素导致它们比传统的 .net 回发更不安全？

Answer 1

您的团队成员不正确。

ViewState 与安全性无关。

事实上，RESTful Web 服务比 ASP.Net 页面性能更高，因为它们涉及的传输量更少，并且没有 ASPX (ViewState) 的开销。

但是，您确实需要防范 CSRF 攻击，这会导致ASP.Net 非 AJAX 模型可以缓解。