내부 HTTP 호출로 보안 위험이 있습니까?

Question

응용 프로그램이 page.ashx라는 내부 응용 프로그램 (내부 전용 page.ashx)이라면 해커가 다른 페이지가 호출되었다고 결론 내릴 수 있습니다.

누구든지이 페이지에 액세스하는 것을 원하지 않습니다. 그것은 바보처럼 보입니다. 그러나 그것은 더 복잡한 문제의 일부입니다.

감사

기본적으로

Answer 1

는 ASHX 처리기 그냥 영문 페이지와 같은 액세스 할 수 있습니다.
"내부"가 무슨 뜻인지는 분명하지 않습니다. 서버 쪽에서 호출하면 IIS의 사용 권한을 제거하여 파일을 숨길 수 있습니다. 그러나 이것은 핸들러가 전혀 필요 없다는 것을 나타내며 함수를 직접 호출 할 수 있습니다. 클라이언트가 액세스해야하는 경우 (예 : 스크립트 또는 이미지를 반환하는 경우) 직접 액세스 할 수 없습니다.

Answer 2

"아무도이 페이지에 액세스하지 못하도록합니다."
사용자가이 페이지에서 인증되었는지 확인해야하거나이 페이지가 인증 된 사용자의 역할에 표시 될 수있는 디렉토리에 있는지 확인해야합니다.

리디렉션은으로 읽을 수 있습니다. 따라서 내가 말하는 페이지로 리디렉션되는 다른 페이지가있는 경우이 페이지가 표시됩니다.

그러나 서버 전송은 내부적으로 읽을 수 없지만이 방법이 귀하의 사례에 도움이되는지는 잘 모르겠습니다.

Answer 3

보안 표시 등을 찾고있는 경우 파일 또는 폴더 이름을 추측하기 어려운 URL을 난독 처리하고 Aristos가 제안한대로 서버 전송을 사용할 수 있습니다.

고급 보안 기능을 원하는 경우 응용 프로그램 자격 증명이있는 호출 코드의 인증이 필요한 ashx 대신 웹 서비스를 구현하십시오 (응용 프로그램에 사용자가 갖고 있지 않아서 사용자가 ' 직접 서비스에 전화하지 마십시오).