无担保&安全的HTTP

时间:2009-11-03 16:34:03

标签: c# iis ssl https

我有一个使用2个网站的应用程序(所以我猜这是2个应用程序......)。用户通过https网站登录,然后在成功登录时转移到不安全的http网站应用程序(使用表单身份验证)。我(和其他人)已经开始收到消息

“当前网页正在尝试在”受信任的网站“列表中打开网站。是否要允许此操作?”

重定向用户时。

有没有办法在服务器配置或代码中停止此操作?

由于

3 个答案:

答案 0 :(得分:2)

如果用户对在“不安全的网站”上执行的任何操作负责,则不应对其进行不安全保护。在HTTPS上验证用户是不安全的,然后让他们通过HTTP使用该验证执行操作。

如果有人不担心中间人,那么他们根本不使用HTTPS是没有意义的。另一方面,如果中间人攻击是可能的(并且通常我认为是),则通过安全登录通过不安全的通道发送会话标识符cookie(或其他凭证)允许攻击者窃取它并伪造服务请求。

答案 1 :(得分:0)

我认为您在登录时所做的是将登录信息从安全页面发布到非安全页面,然后弹出该消息。

您可以做的是让安全登录发布到安全页面,然后从那里重定向到非安全页面。这应该删除消息。

答案 2 :(得分:0)

该消息似乎是IE的可信站点警告。无法从远程服务器控制它,也不应该存在安全风险。