Xml 公共SOAP WSDL文件是否存在安全问题？

我们有一个公共用户可以查看的

soapwsdl

文件。最近，我们组织中的一些人质疑这是否会引起安全问题

---

有人认为公众可以查看

WSDL

文件是一个安全问题吗？所有可用的功能都需要登录用户。

简短的回答是：如果发布WSDL代表安全问题，那么即使不发布WSDL，也会出现安全问题，并且需要解决该问题，而不仅仅是试图隐藏它

WSDL只是解释了您的协议。你不能假设你的协议是秘密的；攻击者仍然可以在没有WSDL的情况下对其进行反向工程。您永远不能假定网络连接另一端的客户端是“您的”客户端。你必须假设它是一个攻击者，并设计你的系统来处理这个事实

因此，隐藏WSDL只是一种次要的混淆形式，不会提供严重的安全性。但是如果隐藏WSDL非常容易，并且不需要额外的工作，那么当然，为什么不呢？隐藏它可能会阻止某些类型的自动脚本试图攻击您。它确实给攻击者带来了一个额外的小麻烦

隐藏WSDL的一个主要危险是，它可能会导致认为WSDL是秘密的开发人员的疏忽。如果你有一个团队，对他们来说这可能是一个问题，我会把它公开，让他们集中精力

另一个主要的危险是，如果它使您的系统更难维护（例如，使其难以升级）。如果是这样，我绝对不会隐瞒。客户机中的额外复杂性几乎肯定比公共WSDL具有更大的安全风险