在Windows域中,Sliver-light浏览器外应用程序(由许多用户使用)消耗了IIS上托管的几个WCF服务。现在用户知道WCF服务端点,他们可以在没有Sliver-light App的情况下执行方法。那么可能的IIS可以识别来自浏览器或Sliver-light浏览器外的应用程序的http请求然后阻止来自浏览器的所有请求但只允许来自Sliver-light app的http请求?在IIS上添加IP安全性不是一个选项,因为它会阻止用户使用Sliver-light应用程序,并在WCF上添加PrincipalPermission属性也不是一个选项,因为需要太多的域用户组和WCF方法需要处理。
答案 0 :(得分:0)
通过在IIS中实现Url重写模块解决了该问题。只需使用此模块添加一条规则,该规则仅允许http请求标头HTTP-REFERER字段包含sliver-light .xap文件。标题中的REFERER始终具有相同的值,即.xap文件。