Лучший способ в asp.net заставить HTTPS для всего сайта?

Question

Лучший способ в asp.net заставить HTTPS для всего сайта?

138

Около 6 месяцев назад я развернул сайт, где каждый запрос должен был превышать https. Единственный способ в то время, когда я мог найти, чтобы каждый запрос страницы был выше https, состоял в том, чтобы проверить это в событии загрузки страницы. Если запрос не был выше http, я бы ответил response.redirect( " https://example.com" )

Есть ли лучший способ - в идеале, некоторые настройки в web.config?

codethrift 05 сен. 2008, в 23:25

Источник

0

проверьте мой ответ здесь stackoverflow.com/questions/33882350/…
shady sherif 23 нояб. 2015, в 22:59
0

Связанный пост - Как заставить HTTPS использовать файл web.config
RBT 11 сен. 2018, в 14:43

Теги:

c#

asp.net

https

vb.net

webforms

14 ответов

89

Другое, что вы можете сделать, это использовать HSTS, вернув заголовок "Strict-Transport-Security" в браузер. Браузер должен поддерживать это (и в настоящее время это прежде всего Chrome и Firefox), но это означает, что после установки браузер не будет отправлять запросы на сайт через HTTP и вместо этого переводит их на HTTPS-запросы перед их выпуском, Попробуйте это в сочетании с перенаправлением с HTTP:

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  switch (Request.Url.Scheme)
  {
    case "https":
      Response.AddHeader("Strict-Transport-Security", "max-age=300");
      break;
    case "http":
      var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
      Response.Status = "301 Moved Permanently";
      Response.AddHeader("Location", path);
      break;
  }
}

Браузеры, которые не знают HSTS, просто проигнорируют заголовок, но все равно поймают оператор switch и отправятся на HTTPS.

Troy Hunt 22 нояб. 2011, в 23:43

5

Никогда раньше не слышал о заголовке HSTS, но выглядит довольно круто. Есть ли причина для использования такого маленького значения максимального возраста (5 минут)? Статья в Википедии, на которую вы ссылаетесь, предлагает установить ее на большое значение (6-12 месяцев).
dana 21 фев. 2013, в 19:13
5

+1. Ознакомьтесь с этой очень обширной статьей в блоге Троя, в которой подробно рассказывается, почему только использование перенаправлений может снизить безопасность. Подсказка: это может сделать вас уязвимым для инструмента SSL Strip, между прочим. troyhunt.com/2011/11/...
Oran Dennison 03 май 2013, в 20:00
3

Также стоит проверить NWebsec , что делает это (и многое другое) очень простым.
Tieson T. 07 авг. 2014, в 03:24
15

Вы захотите включить переключатель в if(!Request.IsLocal) чтобы он не прерывал отладку.
Justin J Stark 03 сен. 2014, в 16:00
1

Хороший ответ. Одна тонкость - для заголовков Http («Strict-Transport-Security») лучше использовать библиотеку, такую как NWebSec, потому что есть несколько вариантов, которые сосредоточены в одном месте конфигурации, а не разбросаны тут и там.
Ognyan Dimitrov 29 окт. 2014, в 14:56
0

@RosdiKasim, принятый ответ был обновлен и для HSTS, но полностью устранил «старый ответ», который показывал только код перенаправления в коде. Это хороший способ сделать это в коде. Также может быть записан в IHttpModule .
Marc L. 04 авг. 2016, в 20:32
0

Быстрое преобразование в VB.net и это решение работало отлично.
Bryan Lewis 02 май 2017, в 16:02
0

Из-за нескольких нетехнических проблем, этот метод я использовал ... за исключением того, что я возвращаю "308 Permanent Redirect", который гарантирует, что POST остаются POST для перенаправления http.
monty 19 фев. 2018, в 00:58
0

Сначала я использовал предложение montys для использования 308 вместо 301 из-за поддержки POST, только чтобы узнать, что 308 не поддерживается IE11. Если значительная часть ваших посетителей все еще пользуется IE, это может вызывать беспокойство.
M-Peror 21 март 2018, в 13:07
0

Это обрабатывает весь трафик на этот сайт? или только страницы, которые вы кодировали? То есть как насчет моих изображений и файлов JavaScript?
Adam R. Grey 30 март 2018, в 14:04

Показать ещё 8 комментариев

81

Модуль IIS7 позволит вам перенаправлять.

    <rewrite>
        <rules>
            <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                <match url="(.*)"/>
                <conditions>
                    <add input="{HTTPS}" pattern="^OFF$"/>
                </conditions>
                <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
            </rule>
        </rules>
    </rewrite>

Mark 15 фев. 2010, в 23:54

40

Это относится к <system.webServer> , для всех, кто интересуется.
Chris 12 апр. 2012, в 20:22
9

Кроме того, для IIS 7.0 вам необходимо установить Url Rewrite Module 2.0
Chris 12 апр. 2012, в 20:42
0

что если нам нужно заставить его работать на одной странице?
Manik Arora 17 дек. 2014, в 10:34
0

Я нашел эту ссылку простой и полезной при создании любой конкретной страницы для приема только запросов https - support.microsoft.com/kb/239875
Manik Arora 17 дек. 2014, в 10:49

Показать ещё 2 комментария

15

Для тех, кто использует ASP.NET MVC. Вы можете использовать следующее для принудительного SSL/TLS через HTTPS по всему сайту двумя способами:

Жесткий путь

1 - добавьте RequireHttpsAttribute к глобальным фильтрам:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

2 - Использовать токены Anti-Forgery для использования SSL/TLS:

AntiForgeryConfig.RequireSsl = true;

3 - Требовать, чтобы Cookies требовали HTTPS по умолчанию, изменив файл Web.config:

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

4 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить Strict Transport Security по сайту. Не забудьте добавить директиву Preload ниже и отправить свой сайт на сайт здесь и здесь. Обратите внимание: если вы не используете OWIN, существует метод Web.config, который вы можете прочитать на NWebSec.

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());

5 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить привязку открытого ключа (HPKP) по всему сайту. Подробнее здесь и здесь.

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
    .Sha256Pins(
        "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
        "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
    .MaxAge(days: 30));

6 - Включите схему https в любом используемом URL. Политика безопасности содержимого (CSP) Заголовок HTTP и Целостность субресурсов (SRI) Не играйте хорошо, когда вы имитируете схему в некоторых браузерах. Лучше говорить о HTTPS. например.

<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>

Простой способ

Используйте ASP.NET MVC Boilerplate Шаблон проекта Visual Studio для создания проекта со всем этим и многое другое. Вы также можете просмотрите код на GitHub.

Muhammad Rehan Saeed 18 март 2015, в 17:11

3

Кроме того, если вы используете <authentication mode="Forms"> , внутри вы должны иметь <forms requireSSL="true">
Pluto 10 июнь 2015, в 17:32
1

@ muhammad-rehan-saeed Я использую шаблон mvc5, но сайт не перенаправляет http на https автоматически на производственном сервере, а только на localhost. Что-то мне не хватает?
Diin 31 авг. 2015, в 11:29
0

Это не тот форум, чтобы задавать этот вопрос. Опубликовать вопрос на сайте GitHub. RequireHttpsAttribute выполняет перенаправление. Пока у вас есть, это должно быть хорошо.
Muhammad Rehan Saeed 31 авг. 2015, в 18:55
0

@MuhammadRehanSaeed, любите свой ответ. Но ... как мне получить хэш SHA256 сертификата, созданного с помощью MakeCert? Все, что у меня есть, это отпечаток SHA-1 ... Вы случайно не знаете?
Diana 08 июль 2017, в 06:39
1

@ Диана, эта ссылка может показать вам, как.
Muhammad Rehan Saeed 08 июль 2017, в 08:12

Показать ещё 3 комментария

11

Если вы не можете установить это в IIS по какой-либо причине, я бы сделал HTTP-модуль, который выполняет перенаправление для вас:

using System;
using System.Web;

namespace HttpsOnly
{
    /// <summary>
    /// Redirects the Request to HTTPS if it comes in on an insecure channel.
    /// </summary>
    public class HttpsOnlyModule : IHttpModule
    {
        public void Init(HttpApplication app)
        {
            // Note we cannot trust IsSecureConnection when 
            // in a webfarm, because usually only the load balancer 
            // will come in on a secure port the request will be then 
            // internally redirected to local machine on a specified port.

            // Move this to a config file, if your behind a farm, 
            // set this to the local port used internally.
            int specialPort = 443;

            if (!app.Context.Request.IsSecureConnection 
               || app.Context.Request.Url.Port != specialPort)
            {
               app.Context.Response.Redirect("https://" 
                  + app.Context.Request.ServerVariables["HTTP_HOST"] 
                  + app.Context.Request.RawUrl);    
            }
        }

        public void Dispose()
        {
            // Needed for IHttpModule
        }
    }
}

Затем просто скомпилируйте его в DLL, добавьте его в качестве ссылки на ваш проект и поместите его в web.config:

 <httpModules>
      <add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
 </httpModules>

FlySwat 06 сен. 2008, в 00:32

0

Это кажется более сложным, чем просто вставлять его в global.asax - просто любопытно, есть ли преимущество?
Brian MacKay 16 окт. 2009, в 15:22
1

Преимущество в том, что когда вы не хотите его использовать, просто закомментируйте модуль в своем файле web.config. Это решение настраивается, в то время как другой нет.
Bob Yexley 19 нояб. 2009, в 13:19
2

Я немного смущен. Я ожидал что-то вроде app.BeginRequest += new OnBeginRequest; в методе Init и в OnBeginRequest содержится то, что содержит текущий метод Init . Вы уверены, что этот модуль работает как положено?
Jakub Šturc 06 авг. 2010, в 10:33
0

Это не работает. Вам нужно добавить событие OnBeginRequest и т. Д., Тогда оно заработает.
SnAzBaZ 05 нояб. 2010, в 11:31
0

Работает сейчас, я обновил код для использования OnBeginRequest
Adam Bell 27 окт. 2011, в 15:48
0

Я бы отредактировал этот неисправный код, но для обеспечения его безопасности вам также потребуется использовать HSTS. Просто ответьте на вопрос Троя Ханта и сделайте его модулем; см. support.microsoft.com/en-us/kb/307996 (старое, но вкусное).
Marc L. 04 авг. 2016, в 21:28

Показать ещё 4 комментария

3

Что вам нужно сделать:

1) Добавьте ключ внутри web.config, в зависимости от сервера производства или стадии, как показано ниже

<add key="HttpsServer" value="stage"/>
             or
<add key="HttpsServer" value="prod"/>

2) Внутри файла Global.asax добавьте метод ниже.

void Application_BeginRequest(Object sender, EventArgs e)
{
    //if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
    if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
    {
        if (!HttpContext.Current.Request.IsSecureConnection)
        {
            if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
            }
            else
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
            }
        }
    }
}

Chandan Kumar 07 окт. 2014, в 09:43

1

Если поддержка SSL не настраивается на вашем сайте (т.е. должна включать/отключать https), вы можете использовать атрибут [RequireHttps] для любого действия контроллера/контроллера, которое вы хотите защитить.

yarg 01 июнь 2014, в 09:34

1

Это также зависит от бренда вашего балансира, для веб-мукс вам нужно будет искать http-заголовок X-WebMux-SSL-termination: true, чтобы понять, что входящий трафик был ssl. подробнее здесь: http://www.cainetworks.com/support/redirect2ssl.html

Alexander 16 нояб. 2010, в 02:41

0

Если вы используете ASP.NET Core, вы можете попробовать пакет nuget SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.

Тогда вам нужно добавить

app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);

Это также добавит заголовок HTTP StrictTransportSecurity ко всем запросам, выполненным с использованием схемы https.

Пример кода и документации https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code

user7755300 23 март 2017, в 07:16

0

Это более полный ответ, основанный на @Troy Hunt. Добавьте эту функцию в класс WebApplication в Global.asax.cs:

    protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        // Allow https pages in debugging
        if (Request.IsLocal)
        {
            if (Request.Url.Scheme == "http")
            {
                int localSslPort = 44362; // Your local IIS port for HTTPS

                var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;

                Response.Status = "301 Moved Permanently";
                Response.AddHeader("Location", path);
            }
        }
        else
        {
            switch (Request.Url.Scheme)
            {
                case "https":
                    Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
                    break;
                case "http":
                    var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
                    Response.Status = "301 Moved Permanently";
                    Response.AddHeader("Location", path);
                    break;
            }
        }
    }

(Чтобы включить SSL в вашей локальной сборке, включите ее в док-станции для проекта)

noelicus 10 сен. 2016, в 13:12

0

- > Просто ADD [RequireHttps] поверх открытого класса HomeController: Controller.

- > И добавьте GlobalFilters.Filters.Add(новый RequireHttpsAttribute()); в 'protected void Application_Start()' в файле Global.asax.cs.

Заставляет ваше приложение полностью работать с HTTPS.

Santosh K 13 март 2016, в 18:28

0

Я не верю, что это будет работать для любых страниц, обслуживаемых с использованием WebForms или любых API, созданных с помощью WebAPI. Он будет охватывать только контроллеры MVC.
Marc L. 04 авг. 2016, в 18:48
0

Да, вы правы, это работает только в ASP.Net MVC
Santosh K 10 авг. 2016, в 17:01

0

Я собираюсь бросить свои два цента. IF у вас есть доступ к стороне сервера IIS, тогда вы можете заставить HTTPS использовать привязки протокола. Например, у вас есть сайт под названием "Бла". В IIS вы настроили два сайта: Blah и Blah (Redirect). Для Blah настройте привязку HTTPS (и FTP, если вам нужно, убедитесь, что вы также принудительно подключили ее к безопасному соединению). Для Blah (Перенаправление) настройте привязку HTTP. Наконец, в разделе HTTP Redirect для Blah (Redirect) обязательно установите 301 перенаправление на https://blah.com с включенным точным назначением. Убедитесь, что каждый сайт в IIS указывает на его собственную корневую папку, иначе Web.config будет запутан. Также убедитесь, что на вашем сайте HTTPSed настроен HSTS, чтобы последующие запросы браузера всегда были привязаны к HTTPS и никаких переадресаций не было.

Gup3rSuR4c 12 нояб. 2015, в 23:55

0

Для @Joe выше: "Это дает мне цикл переадресации. До того, как я добавил код, он работал нормально. Любые предложения? - Joe Nov 8 '11 at 4:13"

Это происходило и со мной, и, как я полагаю, происходит то, что был установлен балансировщик нагрузки, завершающий запрос SSL перед веб-сервером. Итак, мой веб-сайт всегда думал, что запрос был "http", даже если исходный браузер запросил его "https".

Я признаю, что это немного хаки, но для меня работала реализация свойства JustRedirected, которое я мог бы использовать, чтобы выяснить, что человек уже перенаправлен один раз. Итак, я проверяю конкретные условия, которые требуют перенаправления, и, если они выполняются, я устанавливаю это свойство (значение, хранящееся в сеансе) до перенаправления. Даже если условия http/https для перенаправления выполняются во второй раз, я обойду логику перенаправления и reset значение сеанса "JustRedirected" равное false. Вам понадобится ваша собственная логика условного тестирования, но здесь простая реализация свойства:

    public bool JustRedirected
    {
        get
        {
            if (Session[RosadaConst.JUSTREDIRECTED] == null)
                return false;

            return (bool)Session[RosadaConst.JUSTREDIRECTED];
        }
        set
        {
            Session[RosadaConst.JUSTREDIRECTED] = value;
        }
    }

Paul Schroeder 12 дек. 2012, в 20:56

0

Еще одно преимущество при использовании http-модуля заключается в том, что если вы предоставляете его только в global.asax.cs, он проверяет SSL только на Application_BeginRequest, что означает, что ваше приложение не полностью защищено; он будет только перенаправлять на версию SSL с первой попытки, тогда пользователь может вырезать и вставить URL-адрес SSL и обойти его.

Aaron 09 апр. 2010, в 16:22

Ещё вопросы

проверьте мой ответ здесь stackoverflow.com/questions/33882350/…
Связанный пост - Как заставить HTTPS использовать файл web.config
Никогда раньше не слышал о заголовке HSTS, но выглядит довольно круто. Есть ли причина для использования такого маленького значения максимального возраста (5 минут)? Статья в Википедии, на которую вы ссылаетесь, предлагает установить ее на большое значение (6-12 месяцев).
+1. Ознакомьтесь с этой очень обширной статьей в блоге Троя, в которой подробно рассказывается, почему только использование перенаправлений может снизить безопасность. Подсказка: это может сделать вас уязвимым для инструмента SSL Strip, между прочим. troyhunt.com/2011/11/...
Также стоит проверить NWebsec , что делает это (и многое другое) очень простым.
Вы захотите включить переключатель в if(!Request.IsLocal) чтобы он не прерывал отладку.
Хороший ответ. Одна тонкость - для заголовков Http («Strict-Transport-Security») лучше использовать библиотеку, такую как NWebSec, потому что есть несколько вариантов, которые сосредоточены в одном месте конфигурации, а не разбросаны тут и там.
@RosdiKasim, принятый ответ был обновлен и для HSTS, но полностью устранил «старый ответ», который показывал только код перенаправления в коде. Это хороший способ сделать это в коде. Также может быть записан в IHttpModule .
Быстрое преобразование в VB.net и это решение работало отлично.
Из-за нескольких нетехнических проблем, этот метод я использовал ... за исключением того, что я возвращаю "308 Permanent Redirect", который гарантирует, что POST остаются POST для перенаправления http.
Сначала я использовал предложение montys для использования 308 вместо 301 из-за поддержки POST, только чтобы узнать, что 308 не поддерживается IE11. Если значительная часть ваших посетителей все еще пользуется IE, это может вызывать беспокойство.
Это обрабатывает весь трафик на этот сайт? или только страницы, которые вы кодировали? То есть как насчет моих изображений и файлов JavaScript?
Это относится к <system.webServer> , для всех, кто интересуется.
Кроме того, для IIS 7.0 вам необходимо установить Url Rewrite Module 2.0
что если нам нужно заставить его работать на одной странице?
Я нашел эту ссылку простой и полезной при создании любой конкретной страницы для приема только запросов https - support.microsoft.com/kb/239875
Кроме того, если вы используете <authentication mode="Forms"> , внутри вы должны иметь <forms requireSSL="true">
@ muhammad-rehan-saeed Я использую шаблон mvc5, но сайт не перенаправляет http на https автоматически на производственном сервере, а только на localhost. Что-то мне не хватает?
Это не тот форум, чтобы задавать этот вопрос. Опубликовать вопрос на сайте GitHub. RequireHttpsAttribute выполняет перенаправление. Пока у вас есть, это должно быть хорошо.
@MuhammadRehanSaeed, любите свой ответ. Но ... как мне получить хэш SHA256 сертификата, созданного с помощью MakeCert? Все, что у меня есть, это отпечаток SHA-1 ... Вы случайно не знаете?
@ Диана, эта ссылка может показать вам, как.
Это кажется более сложным, чем просто вставлять его в global.asax - просто любопытно, есть ли преимущество?
Преимущество в том, что когда вы не хотите его использовать, просто закомментируйте модуль в своем файле web.config. Это решение настраивается, в то время как другой нет.
Я немного смущен. Я ожидал что-то вроде app.BeginRequest += new OnBeginRequest; в методе Init и в OnBeginRequest содержится то, что содержит текущий метод Init . Вы уверены, что этот модуль работает как положено?
Это не работает. Вам нужно добавить событие OnBeginRequest и т. Д., Тогда оно заработает.
Работает сейчас, я обновил код для использования OnBeginRequest
Я бы отредактировал этот неисправный код, но для обеспечения его безопасности вам также потребуется использовать HSTS. Просто ответьте на вопрос Троя Ханта и сделайте его модулем; см. support.microsoft.com/en-us/kb/307996 (старое, но вкусное).
Я не верю, что это будет работать для любых страниц, обслуживаемых с использованием WebForms или любых API, созданных с помощью WebAPI. Он будет охватывать только контроллеры MVC.
Да, вы правы, это работает только в ASP.Net MVC

John Boker · Accepted Answer · 2008-09-06T01-39-00.000Z

162

Лучший ответ

Используйте HSTS

из http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

Оригинальный ответ

в основном

protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}

который будет находиться в файле global.asax.cs(или global.asax.vb)

Я не знаю способа указать его в web.config

John Boker 06 сен. 2008, в 01:39

6

Это работает, но для меня это было опасно: когда я пытался запустить локально в VS 2010 с этим кодом, моя стартовая страница никогда не загружалась; вместо этого я только что получил сообщение «Эта веб-страница недоступна». Чтобы исправить это, я добавил второе условие, чтобы проверить, содержит ли URL строку «localhost»: если нет, то принудительно введите https.
mg1075 25 авг. 2011, в 13:43
2

Это дает мне цикл перенаправления. До того, как я добавил код, он работал нормально. Какие-либо предложения?
Joe 08 нояб. 2011, в 04:13
0

+1, это делает перенаправление на сервер дважды? Первый, когда вы явно перенаправляете, и второй, когда вы делаете перенаправление в Global.asax?
Pankaj 25 апр. 2012, в 18:10
9

Обратите внимание, что это не обеспечивает никакой полезной безопасности. На самом деле, он будет защищать соединения только от тех пользователей, которые уже в безопасности, и не сможет защитить тех, на кого нападают (это потому, что MITM может просто полностью пропустить перенаправление и перенаправить все на ваш «безопасный» сайт). ИМХО, перенаправление пользовательских агентов - это просто хорошее настроение безопасности и иногда создает иллюзию безопасности. Единственный способ - поручить агентам пользователя запрашивать только защищенные ресурсы, а не перенаправлять их, если они этого не делают. Это то, что делает HSTS - см. Ответы ниже.
tne 19 июнь 2014, в 12:13
0

Вы также можете добавить - «GlobalFilters.Filters.Add (new RequireHttpsAttribute ());» в метод "Application_Start ()" в "global.asax.cs"
Manik Arora 25 март 2015, в 06:41
2

Этот ответ следует считать «вредным» и не должен использоваться. Согласно комментарию @tne выше.
Rosdi Kasim 26 март 2015, в 06:49
0

Модуль перезаписи URL просто работает для меня!
thangcao 26 окт. 2016, в 04:14
0

Если вы получаете сообщение об ошибке о том, что ваш web.config искажен, убедитесь, что у вас установлен модуль перезаписи URL-адресов - это застряло у меня на 10 минут или около того. iis.net/downloads/microsoft/url-rewrite
GJKH 12 май 2017, в 14:28
2

@RosdiKasim Должен ли этот ответ все еще считаться вредным после редактирования 4 декабря 15 года?
Andrew Morton 22 май 2017, в 08:56
1

@AndrewMorton Обновленный ответ (с использованием HSTS) является правильным способом сделать это. Он также перенаправляет браузер на https, если браузер использует http.
Rosdi Kasim 23 май 2017, в 04:20
0

Это не работает для меня. Сайт никогда не будет перенаправлен на. Я отредактировал мой web.config, как указано выше. Сайт работает нормально без правки web.config, а сайт https работает отлично, если я перехожу прямо туда (при условии отсутствия изменений в web.config). У кого-нибудь еще были проблемы с этим кодом?
Jason James 30 март 2018, в 13:02
0

У меня другая проблема. Перенаправление отсутствует, но я не могу попасть на сайт https независимо от того, обновлен ли файл web.config или нет. Firefox сообщает SSL_ERROR_RX_RECORD_TOO_LONG, а IE говорит включить TLS 1, 1.1 и 1.2 и повторить попытку.
Adam R. Grey 30 март 2018, в 13:54
0

Мне всегда приходилось использовать <add input="{HTTPS}" pattern="on" negate="true" /> потому что off никогда не работал. Может быть, сейчас, я даже не пробую в эти дни.
ahwm 15 авг. 2018, в 22:15

Показать ещё 11 комментариев