[英]What are the security implications of establishSecurityContext="False" and negotiateServiceCredential="False"
我們已經在wsHttpBinding上設置了establishSecurityContext="False"和negotiateServiceCredential="False" 。 在每個 Web 服務調用都涉及連接和斷開連接的設置中,這將每個 Web 服務調用的請求數從 5 減少到 1,從而顯着提高了性能。
客戶端已配置為通過身份節點了解服務器身份:
<endpoint address="..." behaviorConfiguration="..." binding="wsHttpBinding" bindingConfiguration="..." contract="..." name="...">
<identity>
<certificate encodedValue="..." />
</identity>
</endpoint>
這些設置的安全含義是什么? 它們是否會以任何方式降低安全性?
所描述的場景實際上並沒有改變在客戶端和服務器之間建立的連接的安全性。 它僅更改指定安全性的方式以及指定憑證的方式。
establishSecurityContext安全上下文是一種更高級別的機制,它有助於使用令牌指定安全上下文,而不是直接指定較低級別的詳細信息。
negotiateServiceCredential憑證指定要使用的憑證是否可以協商而不是明確指定。
這方面的整體框架文檔在這里。
在客戶端為每次調用建立和處理連接並且知道客戶端和服務器可以滿足指定要求(即不需要協商)的設置中,OP 描述的設置是減少在不更改實際應用於連接的安全策略的情況下建立連接的開銷。
NegotiateServiceCredential,如果通過協商獲得服務憑證,則為真; 否則為假。 默認值為真。
https://docs.microsoft.com/en-us/dotnet/api/system.servicemodel.messagesecurityoverhttp.negotiateservicecredential?redirectedfrom=MSDN&view=netframework-4.7.2#System_ServiceModel_MessageSecurityOverHttp_NegotiateServiceCredential
建立安全上下文。 True:如果使用 SecurityContextToken 建立安全對話。 否則為 false,默認為 false。
https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-2.0/aa715023(v=msdn.10)
使用ValidateRequest =“false”來規避“檢測到有潛在危險的Request.Form值”有什么安全隱患?
[英]What are the security implications of using ValidateRequest=“false” to circumvent “A potentially dangerous Request.Form value was detected”?
在這種情況下,安全風險設置EnableEventValidation =“false”嗎?
[英]Is it a security risk setting EnableEventValidation=“false” in this situation?
接受匿名方法(Action <>,Func <>)作為參數有什么安全隱患?
[英]What are the security implications for accepting anonymous methods (Action<>, Func<>) as parameters?
持久安全信息屬性=true 和持久安全信息屬性=false
[英]Persist Security Info Property=true and Persist Security Info Property=false
EF Core 中 .WillCascadeOnDelete(false) 的等價物是什么?
[英]What is the equivalent of .WillCascadeOnDelete(false) in EF Core?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.