没有mex端点的带有basichttpbinding的wcf服务是否可以被绝对陌生人利用?

取决于您对安全的定义。这是一个默默无闻的安全案例,对于你的个人列表服务来说可能是很好的,但是对于一个金融应用程序来说是不可接受的。

SOAP等并不是那么复杂,所以黑客不可能猜到某些输入,尽管这取决于服务,但可能是非常不可能的(甚至在数学上是不可行的)。但是,如果您分发一个可以进行反向工程的客户机,或者如果有人设法通过包嗅探合法使用您的服务,那么他们几乎可以肯定地利用它?

人们(黑客)使用端口嗅探器查找有监听内容的端口。然后他们开始用数据探测它,看看会有什么结果。不需要太多的工作就可以知道这是一个需要SOAP消息的端口。基本上返回的错误也会告诉你很多。因此,默默无闻的安全性根本就不是安全性,您不妨发布该URL。

MEX部分只是帮助其他人创建服务合同,而不是一个需求。以REST或JSON服务为例,没有MEX端点的概念。