[Silverlight入门系列]Silverlight应用程序的安全性考虑Security

当Silverlight作为web应用发布以后，Silverlight应用很容易被反编译，例如新浪财经Silverlight版，可以很容易获得客户端下载的*.XAP文件，重命名为*.ZIP然后把里面的DLL用Reflector反编译出来，甚至还有一个Reflector的插件SilverlightBrowser可以直接输入Silverlight网址进行反编译，真是爽。

如何保护你的Silverlight应用？

1. 使用微软这篇文章里面的安全策略

2. 使用SSL的HTTPS访问

3. 用户登录成功后再加载核心的XAP文件。也就是说下载核心XAP文件前有个Authentication过程。或者使用重定向，成功登录后，会重定向到指定站点受保护区域中的 .xap file 文件的页面。

4. 把核心业务逻辑放在服务器端带认证的WCF  Service实现（或任何SOAP-based services, RESTful services or RIA services）

5. 做混淆，或者使用混淆器1或混淆器2。

（如果你是WEB安全专家，Silverlight安全专家，欢迎提出指导意见）。其它资源下载：《Silverlight安全白皮书》