Quote:
Verwendung für die Kommunikation Cross-Domain erfordert gegen verschiedene Arten von Sicherheitslücke schützt, die verwendet werden können Web-Anwendungen zu nutzen. Cross-Site-Fälschung ist eine Klasse von Exploits, die zu einer Bedrohung wird, wenn domänenübergreifende Aufrufe zugelassen werden. Bei diesem Exploit handelt es sich um eine bösartige Silverlight-Steuerung, die ohne Wissen des Benutzers nicht autorisierte Befehle an einen Dienst eines Drittanbieters überträgt. Um Cross-Site-Request-Forgery zu verhindern, erlaubt Silverlight standardmäßig nur die Kommunikation über den Ursprungsort für alle Anfragen außer Bildern und Medien. Beispielsweise kann ein Silverlight-Steuerelement, das unter http://contoso.com/mycontrol.aspx gehostet wird, standardmäßig nur auf Dienste in derselben Domäne zugreifen, z. B. http://contoso.com/service.svc, aber kein Dienst unter http://fabrikam.com/service.svc. Dadurch wird verhindert, dass ein schädliches Silverlight-Steuerelement, das in der Domäne http://contoso.com gehostet wird, nicht autorisierte Vorgänge auf einem Dienst aufruft, der auf der Domäne http://fabrikam.com gehostet wird.
Damit ein Silverlight-Steuerelement auf einen Dienst in einer anderen Domäne zugreifen kann, muss der Dienst explizit den domänenübergreifenden Zugriff zulassen. Ein Dienst gibt an, dass die bereitgestellten Operationen von einem Silverlight-Steuerelement problemlos aufgerufen werden können, ohne potenziell schädliche Auswirkungen auf die Daten zu haben, die vom Dienst gespeichert werden.
EDIT: basierend auf Kommentar/Frage ...
Ich werde einfach mein wahrscheinlich unvollkommenes Verständnis für die Situation geben, aber das macht Sinn für mich.
Ein Browser ist im Allgemeinen davon abhängig, wohin er Sie leiten kann, indem er es schwierig macht, auf einen anderen Host als den, der die HTTP-Seiten bedient, zuzugreifen. Dies gilt unabhängig davon, welche Ressource gerade diskutiert wird. Und diese Einschränkungen müssen durch Rückschlüsse auf alles andere, das im Kontext des Browsers/der Webseite ausgeführt wird, einschließlich Silverlight, angewendet werden. Dies ist nur eine Extrapolation eines bestehenden Mechanismus, um ausländische Referenzen zuzulassen.
Ich bin mir nicht sicher, wie Sie beabsichtigen, einen "Dienst" von einem "Socket" zu unterscheiden. Im Allgemeinen verwenden Dienste Sockets; Es gibt einen Prozess (Dienst oder sonstwie), der auf einem Host sitzt und zusieht, wie er Verbindungen an einem Port herstellt. Eine Art von Verbindung ist eine Steckdose.
1) Ich frage nach Sockets, nicht nach Diensten. 2) Dies beantwortet meine Frage nicht. –
Siehe Bild sehen –
Ich sehe einfach nicht, wie Silverlight im Grunde einen Host fragt, "was kann ich zugreifen" ist alles andere als nur lästig. Schädliche Apps ignorieren einfach die Richtlinie und gehen für jede Ressource, die sie möchten, so dass sie nichts verhindert. Ich verstehe den Punkt nicht. –