【TechTarget中国原创】问:如何验证在Web服务和Web应用程序之间不同的数据?
答:正常的Web应用程序数据验证仍然需要Web服务。缓冲溢出和正确的数据类型处理以及所有其他形式的数据验证的匹配问题仍然是需要考虑的。然而,这些基本上是质量开发的问题。
在处理Web服务和XML一个更重要的一系列问题。在较低水平,我们需要处理XML架构,如无边的实体或扩大定义,XML架构-这些都需要智能的XML解析器分析和检测这些错误或攻击。传统的基于内容的攻击,如SQL命令注入基于内容的过滤和一系列的攻击签名。
数据隐私是一个非常有趣的特殊情况。通过SOA的挑战由于发生重用将是控制最后处置的信息和起源。传递的个人身份信息从一个新的Web服务客户端设在European联盟的各种隐私和治理问题,Web服务可从来没有考虑。为了应付这种情况,基于内容的过滤器,能够区分哪些类型的信息不得交叉尤其是内部边界。这实际上是完全相同类型的过滤,XML安全网关提供了一个网络水平。
在一个更高的水平上,如国有修改攻击,交易注入攻击或重放攻击。这些都是消息驱动架构产生的具体问题。Web服务使用XML文件作为idempotent信息存储在事务处理历史和未来的处理步骤视为国家内部的文件-一个未签名的消息,因此,在今后处理步骤的申请进行修改。形成良好的信息与一个正确的身份,签署可能会在全部内容重放或重新注入不同的序列的形式下令攻击。为了解决这些问题,邮件签名,序列号码,有效期和国家审核都是必需的。