我的网站混合了http和https页面。在站点的根目录下,一个文件夹包含所有http页面,另一个文件夹包含所有https页面。登录通过https并将用户发送到其他页面。当会话到期时,表单身份验证重定向到“登录”页面,但浏览器使用http,用户收到403错误。
有没有办法覆盖会话超时以将其发送到https?
答案 0 :(得分:0)
一种方法是配置IIS以将http流量重定向到https
http://support.microsoft.com/kb/839357
混合模式要考虑的一件事是:
对SSL页面存在常见攻击,即发出http请求(到https资源)以获取未加密的会话cookie。这就是您希望将会话cookie配置为仅加密(不会通过http发送)的原因。我猜你的http和https页面共享会话,这意味着你无法设置此设置,使你的网站容易受到这种攻击。但是要注意这一点很好。 http://anubhavg.wordpress.com/2008/02/05/how-to-mark-session-cookie-secure/
您可能会发现另一篇有用的文章 http://www.west-wind.com/Weblog/posts/4057.aspx