Около 6 месяцев назад я выкатил сайт, где каждый запрос должен был быть выше https. Единственный способ в то время, когда я мог найти, чтобы каждый запрос страницы был выше https, состоял в том, чтобы проверить это в событии загрузки страницы. Если запрос не был выше http, я бы ответил response.redirect («https://example.com»)Лучший способ в asp.net заставить https для всего сайта?
Есть ли лучший способ - в идеале, некоторые настройки в web.config?
Пожалуйста, используйте HSTS
из http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
оригинальный ответ
основном
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}
что бы в Global.asax.cs (или глобальный характер. asax.vb)
я не знаю способа, чтобы указать его в web.config
это работает , но это было опасно для меня: когда я попытался запустить локально в VS 2010 с запущенным этим кодом, моя стартовая страница никогда не загружалась; вместо этого я только что получил сообщение «Эта страница недоступна». Чтобы исправить это, я добавил второе условие, чтобы проверить, содержит ли URL-адрес строку «localhost»: если это не так, то принудительно https. – mg1075 2011-08-25 13:43:17
Это дает мне цикл переадресации. Прежде чем я добавил код, он работал нормально.Какие-либо предложения? – Joe 2011-11-08 04:13:50
+1, он делает перенаправление на сервер дважды? Первый, Когда вы явно перенаправляете и второй, когда вы делаете перенаправление в Global.asax? – Pankaj 2012-04-25 18:10:56
Если вы не можете установить это в IIS по какой-то причине, я бы сделать модуль HTTP, который делает редирект для вас:
using System;
using System.Web;
namespace HttpsOnly
{
/// <summary>
/// Redirects the Request to HTTPS if it comes in on an insecure channel.
/// </summary>
public class HttpsOnlyModule : IHttpModule
{
public void Init(HttpApplication app)
{
// Note we cannot trust IsSecureConnection when
// in a webfarm, because usually only the load balancer
// will come in on a secure port the request will be then
// internally redirected to local machine on a specified port.
// Move this to a config file, if your behind a farm,
// set this to the local port used internally.
int specialPort = 443;
if (!app.Context.Request.IsSecureConnection
|| app.Context.Request.Url.Port != specialPort)
{
app.Context.Response.Redirect("https://"
+ app.Context.Request.ServerVariables["HTTP_HOST"]
+ app.Context.Request.RawUrl);
}
}
public void Dispose()
{
// Needed for IHttpModule
}
}
}
Тогда просто скомпилировать его в DLL, добавьте его в качестве ссылки на ваш проект и поместить это в web.config:
<httpModules>
<add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
</httpModules>
модуль IIS7 позволит вам перенаправить.
<rewrite>
<rules>
<rule name="Redirect HTTP to HTTPS" stopProcessing="true">
<match url="(.*)"/>
<conditions>
<add input="{HTTPS}" pattern="^OFF$"/>
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
</rule>
</rules>
</rewrite>
Другим преимуществом при этом модуль НТТР, если вы предъявите его в Global.asax.cs, он проверяет только SSL, на Application_BeginRequest, что означает ваше приложение не полностью защищена; он только отправит на версию SSL первую попытку, тогда пользователь сможет вырезать и вставить ни одного URL-адреса SSL и обойти его.
Это также зависит от марки вашего балансировочного устройства, для веб-мультиплексора, вам нужно будет найти http-заголовок X-WebMux-SSL-termination: true, чтобы понять, что входящий трафик был ssl. подробнее здесь: http://www.cainetworks.com/support/redirect2ssl.html
Другое, что вы можете сделать, это использовать HSTS, вернув заголовок «Строгая транспортная безопасность» в браузер. Браузер должен поддерживать это (и в настоящее время это прежде всего Chrome и Firefox), но это означает, что после установки браузер не будет отправлять запросы на сайт через HTTP и вместо этого переводит их на HTTPS-запросы перед их выпуском , Попробуйте это в сочетании с редирект с HTTP:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
switch (Request.Url.Scheme)
{
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=300");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
Браузеры, которые не знают HSTS просто игнорировать заголовок, но все равно поймают заявлением коммутатора и посланные к HTTPS.
Для @Joe выше, «Это дает мне петлю перенаправлять Прежде чем я добавил код он работал отлично Любые предложения. -.? Джо 8 ноября '11 в 4:13»
Это происходит со мной а также то, что я считаю, заключается в том, что был установлен балансировщик нагрузки, завершающий запрос SSL перед веб-сервером. Итак, мой веб-сайт всегда думал, что запрос был «http», даже если оригинальный браузер запросил его «https».
Я признаю, что это немного хакки, но для меня работала реализация свойства JustRedirected, которое я мог бы использовать, чтобы выяснить, что человек уже перенаправлен один раз. Итак, я проверяю конкретные условия, которые требуют перенаправления, и, если они выполняются, я устанавливаю это свойство (значение, хранящееся в сеансе) до перенаправления. Даже если условия http/https для перенаправления выполняются во второй раз, я обходите логику перенаправления и устанавливаю значение сеанса «JustRedirected» равным false. Вам нужен собственный условный тест логики, но вот простая реализация имущества:
public bool JustRedirected
{
get
{
if (Session[RosadaConst.JUSTREDIRECTED] == null)
return false;
return (bool)Session[RosadaConst.JUSTREDIRECTED];
}
set
{
Session[RosadaConst.JUSTREDIRECTED] = value;
}
}
Если поддержка SSL не настраивается на вашем сайте (т. Е должны быть в состоянии включить HTTPS вкл/выкл) - вы может использовать атрибут [RequireHttps] для любого действия контроллера/контроллера, которое вы хотите защитить.
Что вам нужно сделать, это:
1) Добавление ключа внутри web.config, в зависимости от производственного сервера или этапа, как показано ниже
<add key="HttpsServer" value="stage"/>
or
<add key="HttpsServer" value="prod"/>
2) Внутри файла Global.asax добавьте ниже метод.
void Application_BeginRequest(Object sender, EventArgs e)
{
//if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
{
if (!HttpContext.Current.Request.IsSecureConnection)
{
if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
}
else
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
}
}
}
}
Для тех, кто использует ASP.NET MVC. Вы можете использовать следующие, чтобы заставить SSL/TLS через HTTPS по всему сайту двумя способами:
Трудный путь
1 - Добавьте RequireHttpsAttribute к глобальным фильтрам:
GlobalFilters.Filters.Add(new RequireHttpsAttribute());
2 - Force Anti-Подделка маркеров, чтобы использовать SSL/TLS:
AntiForgeryConfig.RequireSsl = true;
3 - требовать Cookies требуют HTTPS по умолчанию путем изменения Файл Web.config:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
4 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить Strict Transport Security accross сайта. Не забудьте добавить директиву Preload ниже и отправить свой сайт на номер HSTS Preload site. Дополнительная информация here и here. Обратите внимание: если вы не используете OWIN, существует метод Web.config, который вы можете прочитать на сайте NWebSec.
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());
5 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить Public Key пиннингу (HPKP) через сайт. Дополнительная информация here и here.
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
.Sha256Pins(
"Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
"Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
.MaxAge(days: 30));
6 - Включите схему https в любые используемые URL. Content Security Policy (CSP) HTTP-заголовок и Subresource Integrity (SRI) не играют хорошо, когда вы имитируете схему в некоторых браузерах. Лучше говорить о HTTPS. например
<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>
The Easy Way
Используйте шаблон студии проекта ASP.NET MVC Boilerplate Визуальная для создания проекта со всеми это и многое другое встраивается. Вы можете также просмотреть код на GitHub.
Я собираюсь бросить свои два цента. IF у вас есть доступ к стороне сервера IIS, тогда вы можете принудительно установить HTTPS с помощью привязок протокола. Например, у вас есть сайт под названием Blah. В IIS вы настроили два сайта: Blah и Blah (Redirect). Для Blah только настройте привязку HTTPS (и FTP, если вам нужно, обязательно закрепите ее и через безопасное соединение). Для Бла (перенаправление) только настройте привязку HTTP. Наконец, в разделе HTTP Redirect для Бла (перенаправление) убедитесь, что 301 перенаправление перенаправлено на https://blah.com с включенным точным назначением. Убедитесь, что каждый сайт в IIS указывает на то, что принадлежит папке с корнем, иначе Web.config получит все прищуренное. Также убедитесь, что на вашем сайте HTTPSed настроен HSTS, чтобы последующие запросы браузера всегда были привязаны к HTTPS и переадресации не выполнялись.
-> Просто ДОБАВИТЬ [RequireHttps] поверх открытого класса HomeController: Controller.
-> И добавить GlobalFilters.Filters.Add (новый RequireHttpsAttribute()); в 'protected void Application_Start()' в файле Global.asax.cs.
Заставляет все ваше приложение работать с HTTPS.
Это более полный ответ, основанный на @Troy Hunt. Добавьте эту функцию к вашему WebApplication класса в Global.asax.cs:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
// Allow https pages in debugging
if (Request.IsLocal)
{
if (Request.Url.Scheme == "http")
{
int localSslPort = 44362; // Your local IIS port for HTTPS
var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
}
}
else
{
switch (Request.Url.Scheme)
{
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
}
(Чтобы включить SSL на локальном сборке включить его в док-станцию Свойства проекта)
Если вы используете ASP.NET Сердечник вы могли бы попробовать из пакета nuget SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.
Тогда вам нужно только добавить
app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);
Это будет также добавить заголовок HTTP StrictTransportSecurity всего запросу, сделанные с использованием протокола HTTPS схема.
Пример кода и документации https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code
проверить мой ответ здесь http://stackoverflow.com/questions/33882350/iis-8-redirect-url-from-http-to-https/33882351#33882351 – 2015-11-23 22:59:33