Ajax访问XmlWebService安全问题以及解决方案.doc

 HYPERLINK /jillzhang/archive/2008/06/12/1218690.html Ajax访问Xml Web Service的安全问题以及解决方案 在 ajax中updatepanel比较常用,原本需要刷新的操作套在updatepanel中就成了ajax操作了,挺帅!但ajax也是支持与Xml Web Service交互的,这种方法更像是传统的ajaxpro和其他ajax框架,如jquery,magicajax,extjs的风格,但MS总是独树一帜,谁让他的产品设计能力那么高呢!我辈恐怕望尘莫及亚.闲话少叙，下面简单讲述下 ajax如何调用xml web service,熟悉的朋友就略过吧 1. 创建一个支持Asp.Net Ajax的网站或者网络应用程序，我使用的是vs2008，在vs2008中，如果建立的网站支持.net framework 3.5就有ajax的缺省支持，这陈芝麻，烂谷子的事情，也不多说。 2. 建立好项目之后，在网站根目录中添加一个Web服务UserService.asmx,在UserService.asmx中添加如下方法： [WebMethod]?public?bool?UserAdd(string?userName,string?pwd)?{?return?true;?}? 注意服务类上部要添加Attribute [System.Web.Script.Services.ScriptService] 3. 然后把default.aspx中的ScriptManager修改成如下代码的德性： asp:ScriptManager?ID=ScriptManager1?runat=server?Services?asp:ServiceReference?Path=UserService.asmx?/?/Services?/asp:ScriptManager? 下面我们就在页面中创建用Ajax消费这个UserService的代码：主要包括如下：? h2Ajax调用Xml?Web?Service示例1/h2?div?style=border:?1px?solid?Black;?width:?50%;?padding:?10px;?table?class=style1?tr?td?用户名：?/td?td?input?id=txtName?type=text?/?/td?/tr?tr?td?密码：?/td?td?input?id=txtPwd?type=password?/?/td?/tr?tr?td?nbsp;?/td?td?input?id=Button2?type=button?value=提交?onclick=userAdd()?/?/td?/tr?/table?/div? 在head/head添加如下脚本 function?userAdd()?{?var?name?=?$get(txtName).value;?var?pwd?=?$get(txtPwd).value;?AjaxWs.UserService.UserAdd(name,pwd,userAddCallBack);?}?function?userAddCallBack(res)?{?alert(res);?}? 4.?好，现在一个简单的ajax调用web service的示例代码已经搞定，罗索了不少，其实简单的不能再简单，运行页面，点击提交按钮，效果如下： 表示成功。一般人这一步都会成功的。二般的除外亚，：）?? 一些正常，那是不是到这里就万事大吉，ajax万岁！web service真好！下面是略加思考之后的问题?? 问题一： 上面的Xml Web Service没有任何保护，如果UserAdd是一个数据库插入操作，那这个操作往往系统只被经过授权的人才能调用成功。以前看有朋友讨论ajax如何调用带有SoapHeader的xml web service，细细想想，其实没什么必要！js是客户端的东西，是放出去收不回来的玩意，天知道用户是哪路货色 ，如果将身份信息试图通过js传递给SoapHeader，那密码被截获的可能性就比较大。正确的做法其实是Session .我们知道Web Service方法中添加一个[WebMethod(EnableSession=true)]就能使用Session了，Session这家伙专门用于保持会话，有这样一个 认识之后，新增一个网络服务方法，这个方法实现功能和起初的UserAdd一致，只是添加上