我的用例非常简单:默认情况下我想要SSL,这样如果有人输入自定义 OpenID,它会强制执行SSL,但我有一定数量的我信任的提供商,不幸的是其中一个提供者不使用SSL作为索赔ID(但登录时使用SSL),这会引发DNOA的警钟。
除了使用requireSsl="false"?之外,除此之外
也许更重要的是,这有多重要吗?
答案 0 :(得分:1)
要求SSL可以防止DNS中毒攻击。如果您将其关闭,即使只针对某些网址,您也可能会降低安全性,就像您一直关闭它一样。 DNS中毒攻击会允许用户欺骗(攻击者以其他人身份登录),即使对于“受信任”的提供商也是如此。
如果您想继续执行计划,可以通过OpenIdRelyingParty属性调整单个SecuritySettings实例来自定义RequireSsl设置。