[英]What are the security implications of using ValidateRequest=“false” to circumvent “A potentially dangerous Request.Form value was detected”?
[英]What are the security implications of establishSecurityContext="False" and negotiateServiceCredential="False"
我們已經在wsHttpBinding
上設置了establishSecurityContext="False"
和negotiateServiceCredential="False"
。 在每個 Web 服務調用都涉及連接和斷開連接的設置中,這將每個 Web 服務調用的請求數從 5 減少到 1,從而顯着提高了性能。
客戶端已配置為通過身份節點了解服務器身份:
<endpoint address="..." behaviorConfiguration="..." binding="wsHttpBinding" bindingConfiguration="..." contract="..." name="...">
<identity>
<certificate encodedValue="..." />
</identity>
</endpoint>
這些設置的安全含義是什么? 它們是否會以任何方式降低安全性?
所描述的場景實際上並沒有改變在客戶端和服務器之間建立的連接的安全性。 它僅更改指定安全性的方式以及指定憑證的方式。
establishSecurityContext
安全上下文是一種更高級別的機制,它有助於使用令牌指定安全上下文,而不是直接指定較低級別的詳細信息。
negotiateServiceCredential
憑證指定要使用的憑證是否可以協商而不是明確指定。
這方面的整體框架文檔在這里。
在客戶端為每次調用建立和處理連接並且知道客戶端和服務器可以滿足指定要求(即不需要協商)的設置中,OP 描述的設置是減少在不更改實際應用於連接的安全策略的情況下建立連接的開銷。
NegotiateServiceCredential,如果通過協商獲得服務憑證,則為真; 否則為假。 默認值為真。
https://docs.microsoft.com/en-us/dotnet/api/system.servicemodel.messagesecurityoverhttp.negotiateservicecredential?redirectedfrom=MSDN&view=netframework-4.7.2#System_ServiceModel_MessageSecurityOverHttp_NegotiateServiceCredential
建立安全上下文。 True:如果使用 SecurityContextToken 建立安全對話。 否則為 false,默認為 false。
https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-2.0/aa715023(v=msdn.10)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.