大约6个月前,我推出了一个网站,每个请求都需要通过https。当我找到确保页面的每个请求都通过https的唯一方法是在页面加载事件中检查它。如果请求不是通过http,我会response.redirect(“https://example.com”)
有没有更好的方法 - 理想情况下是web.config中的一些设置?
答案 0 :(得分:229)
请使用HSTS
来自http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
原始答案(2015年12月4日替换为上述内容)
基本上
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}
将出现在global.asax.cs(或global.asax.vb)
中我不知道在web.config中指定它的方法
答案 1 :(得分:115)
您可以通过将“Strict-Transport-Security”标头返回到浏览器来使用HSTS。浏览器必须支持这一点(目前,它主要是Chrome和Firefox),但这意味着一旦设置,浏览器就不会通过HTTP向网站发出请求,而是在发出请求之前将它们转换为HTTPS请求。尝试与HTTP中的重定向结合使用:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
switch (Request.Url.Scheme)
{
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=300");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
不支持HSTS的浏览器只会忽略标题,但仍会被switch语句捕获并发送到HTTPS。
答案 2 :(得分:86)
IIS7模块将允许您重定向。
<rewrite>
<rules>
<rule name="Redirect HTTP to HTTPS" stopProcessing="true">
<match url="(.*)"/>
<conditions>
<add input="{HTTPS}" pattern="^OFF$"/>
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
</rule>
</rules>
</rewrite>
答案 3 :(得分:20)
对于那些使用ASP.NET MVC的人。您可以通过以下两种方式使用以下内容在整个站点上强制通过HTTPS进行SSL / TLS:
困难之路
1 - 将RequireHttpsAttribute添加到全局过滤器:
GlobalFilters.Filters.Add(new RequireHttpsAttribute());
2 - 强制防伪标记使用SSL / TLS:
AntiForgeryConfig.RequireSsl = true;
3 - 默认情况下,要求Cookie通过更改Web.config文件来要求HTTPS:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
4 - 使用NWebSec.Owin NuGet包并添加以下代码行以在站点中启用严格传输安全性。不要忘记在下面添加Preload指令并将您的网站提交到HSTS Preload site。更多信息here和here。请注意,如果您不使用OWIN,则可以在NWebSec站点上阅读Web.config方法。
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());
5 - 使用NWebSec.Owin NuGet包并添加以下代码行以在整个站点上启用公钥锁定(HPKP)。更多信息here和here。
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
.Sha256Pins(
"Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
"Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
.MaxAge(days: 30));
6 - 在所使用的任何URL中包含https方案。当您在某些浏览器中模仿该方案时,Content Security Policy (CSP) HTTP标头和Subresource Integrity (SRI)不会很好用。最好明确HTTPS。 e.g。
<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>
轻松的方式
使用ASP.NET MVC Boilerplate Visual Studio项目模板生成一个包含所有这些内置项目的项目。您还可以在GitHub上查看代码。
答案 4 :(得分:13)
如果由于某种原因无法在IIS中进行设置,我会创建一个为您重定向的HTTP模块:
using System;
using System.Web;
namespace HttpsOnly
{
/// <summary>
/// Redirects the Request to HTTPS if it comes in on an insecure channel.
/// </summary>
public class HttpsOnlyModule : IHttpModule
{
public void Init(HttpApplication app)
{
// Note we cannot trust IsSecureConnection when
// in a webfarm, because usually only the load balancer
// will come in on a secure port the request will be then
// internally redirected to local machine on a specified port.
// Move this to a config file, if your behind a farm,
// set this to the local port used internally.
int specialPort = 443;
if (!app.Context.Request.IsSecureConnection
|| app.Context.Request.Url.Port != specialPort)
{
app.Context.Response.Redirect("https://"
+ app.Context.Request.ServerVariables["HTTP_HOST"]
+ app.Context.Request.RawUrl);
}
}
public void Dispose()
{
// Needed for IHttpModule
}
}
}
然后将其编译为DLL,将其添加为项目的引用并将其放在web.config中:
<httpModules>
<add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
</httpModules>
答案 5 :(得分:4)
您需要做的是:
1)在web.config中添加一个密钥,具体取决于生产或阶段服务器,如下所示
<add key="HttpsServer" value="stage"/>
or
<add key="HttpsServer" value="prod"/>
2)在Global.asax文件中添加以下方法。
void Application_BeginRequest(Object sender, EventArgs e)
{
//if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
{
if (!HttpContext.Current.Request.IsSecureConnection)
{
if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
}
else
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
}
}
}
}
答案 6 :(得分:3)
如果您的站点中无法配置SSL支持(即应该能够打开/关闭https) - 您可以在要保护的任何控制器/控制器操作上使用[RequireHttps]属性。
答案 7 :(得分:2)
它还取决于您的平衡器的品牌,对于Web多路复用器,您需要查找http标头X-WebMux-SSL-termination: true
以确定传入的流量是ssl。详情请见http://www.cainetworks.com/support/redirect2ssl.html
答案 8 :(得分:2)
对于上面的@Joe,“这给了我一个重定向循环。在我添加代码之前它运行正常。有什么建议吗? - 乔11年11月8日4:13”
这也发生在我身上,我认为发生的事情是有一个负载均衡器在Web服务器前终止SSL请求。所以,我的网站总是认为请求是“http”,即使原始浏览器要求它是“https”。
我承认这有点笨拙,但对我来说有用的是实现一个“JustRedirected”属性,我可以利用该属性来判断该人已被重定向一次。因此,我测试了保证重定向的特定条件,如果满足,则在重定向之前设置此属性(存储在会话中的值)。即使第二次满足重定向的http / https条件,我绕过重定向逻辑并将“JustRedirected”会话值重置为false。您需要自己的条件测试逻辑,但这是一个简单的属性实现:
public bool JustRedirected
{
get
{
if (Session[RosadaConst.JUSTREDIRECTED] == null)
return false;
return (bool)Session[RosadaConst.JUSTREDIRECTED];
}
set
{
Session[RosadaConst.JUSTREDIRECTED] = value;
}
}
答案 9 :(得分:2)
我要投入两美分。 IF 您可以访问IIS服务器端,然后您可以使用协议绑定强制HTTPS。例如,您有一个名为 Blah 的网站。在IIS中,您设置了两个站点: Blah 和 Blah(重定向)。对于 Blah ,只需配置HTTPS
绑定(和FTP
,如果需要,请确保通过安全连接强制它)。对于 Blah(重定向),仅配置HTTP
绑定。最后,在 Blah(重定向)的 HTTP重定向部分中,确保将301重定向设置为https://blah.com
,并启用了精确目标。确保IIS中的每个站点都指向它的拥有根文件夹,否则 Web.config 将全部搞砸。另外,请确保在您的HTTPSed站点上配置HSTS
,以便浏览器的后续请求始终强制为HTTPS,并且不会发生重定向。
答案 10 :(得分:2)
这是基于@Troy Hunt的更全面的答案。将此功能添加到"amc","amc","amc","amc","amc".
中的y <- gsub("amc*[A-z][0-9]","amc",charvct)
课程:
WebApplication
(要在本地版本上启用SSL,请在项目的“属性”停靠栏中启用它)
答案 11 :(得分:1)
- &GT;只需在公共类HomeController:Controller。
之上添加[RequireHttps]- &GT;并添加GlobalFilters.Filters.Add(new RequireHttpsAttribute());在Global.asax.cs文件中的'protected void Application_Start()'方法中。
这会强制整个应用程序使用HTTPS。
答案 12 :(得分:1)
我花了一些时间寻找有意义的最佳实践,并发现以下对我来说很完美的方法。希望这可以节省您的时间。
使用配置文件(例如asp.net网站) https://blogs.msdn.microsoft.com/kaushal/2013/05/22/http-to-https-redirects-on-iis-7-x-and-higher/
或在您自己的服务器上 https://www.sslshopper.com/iis7-redirect-http-to-https.html
[短答案] 只需将下面的代码放入
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP/S to HTTPS Redirect" enabled="true"
stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAny">
<add input="{SERVER_PORT_SECURE}" pattern="^0$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}"
redirectType="Permanent" />
</rule>
</rules>
</rewrite>
答案 13 :(得分:0)
如果您使用的是ASP.NET Core,则可以试用nuget包SaidOut.AspNetCore.HttpsWithStrictTransportSecurity。
然后你只需要添加
app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);
这也将为使用https方案的所有请求添加HTTP StrictTransportSecurity标头。
示例代码和文档https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code
答案 14 :(得分:0)
在IIS10(Windows 10和Server 2016)中,从1709版开始,提供了一个新的,更简单的选项来为网站启用HSTS。
Microsoft描述了新方法curl_multi API
的优点,并提供了许多不同的示例,这些示例说明了如何以编程方式或通过直接编辑ApplicationHost.config文件(与web.config类似,但在IIS上运行)来实现更改级别,而不是单个站点级别)。可以在C:\ Windows \ System32 \ inetsrv \ config中找到ApplicationHost.config。
为了避免链接腐烂,我在这里概述了两个示例方法。
方法1 -直接编辑ApplicationHost.config文件
在<site>
标签之间,添加以下行:
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
方法2 -命令行: 在提升的命令提示符下执行以下操作(即在CMD上单击鼠标右键并以管理员身份运行)。记住,将Contoso替换为IIS管理器中显示的站点名称。
c:
cd C:\WINDOWS\system32\inetsrv\
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
如果您位于访问受限的托管环境中,Microsoft在这些文章中提供的其他方法可能是更好的选择。
请记住,IIS10 1709版本现已在Windows 10上可用,但对于Windows Server 2016,它处于不同的发行版中,不会作为补丁程序或Service Pack发行。有关1709的详细信息,请参见here。