Лучший способ в asp.net заставить https для всего сайта?

Около 6 месяцев назад я развернул сайт, где каждый запрос должен был превышать https. Единственный способ в то время, когда я мог найти, чтобы каждый запрос страницы был выше https, состоял в том, чтобы проверить это в событии загрузки страницы. Если запрос не был выше http, я бы ответил response.redirect( " https://example.com" )

Есть ли лучший способ - в идеале, некоторые настройки в web.config?

Ответ 1

Используйте HSTS

из http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

Оригинальный ответ

в основном

protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}

который будет находиться в файле global.asax.cs(или global.asax.vb)

Я не знаю способа указать его в web.config

Ответ 2

Другое, что вы можете сделать, это использовать HSTS, вернув заголовок "Strict-Transport-Security" в браузер. Браузер должен поддерживать это (и в настоящее время это прежде всего Chrome и Firefox), но это означает, что после установки браузер не будет отправлять запросы на сайт через HTTP и вместо этого переводит их на HTTPS-запросы перед их выпуском, Попробуйте это в сочетании с перенаправлением с HTTP:

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  switch (Request.Url.Scheme)
  {
    case "https":
      Response.AddHeader("Strict-Transport-Security", "max-age=300");
      break;
    case "http":
      var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
      Response.Status = "301 Moved Permanently";
      Response.AddHeader("Location", path);
      break;
  }
}

Браузеры, которые не знают HSTS, просто проигнорируют заголовок, но все равно поймают оператор switch и отправятся на HTTPS.

Ответ 3

Модуль IIS7 позволит вам перенаправлять.

    <rewrite>
        <rules>
            <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                <match url="(.*)"/>
                <conditions>
                    <add input="{HTTPS}" pattern="^OFF$"/>
                </conditions>
                <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
            </rule>
        </rules>
    </rewrite>

Ответ 4

Для тех, кто использует ASP.NET MVC. Вы можете использовать следующее для принудительного SSL/TLS через HTTPS по всему сайту двумя способами:

Жесткий путь

1 - добавьте RequireHttpsAttribute к глобальным фильтрам:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

2 - Использовать токены Anti-Forgery для использования SSL/TLS:

AntiForgeryConfig.RequireSsl = true;

3 - Требовать, чтобы Cookies требовали HTTPS по умолчанию, изменив файл Web.config:

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

4 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить Strict Transport Security по сайту. Не забудьте добавить директиву Preload ниже и отправить свой сайт на сайт здесь и здесь. Обратите внимание: если вы не используете OWIN, существует метод Web.config, который вы можете прочитать на NWebSec.

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());

5 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить привязку открытого ключа (HPKP) по всему сайту. Подробнее здесь и здесь.

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
    .Sha256Pins(
        "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
        "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
    .MaxAge(days: 30));

6 - Включите схему https в любом используемом URL. Политика безопасности содержимого (CSP) Заголовок HTTP и Целостность субресурсов (SRI) Не играйте хорошо, когда вы имитируете схему в некоторых браузерах. Лучше говорить о HTTPS. например.

<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>

Простой способ

Используйте ASP.NET MVC Boilerplate Шаблон проекта Visual Studio для создания проекта со всем этим и многое другое. Вы также можете просмотрите код на GitHub.

Ответ 5

Если вы не можете установить это в IIS по какой-либо причине, я бы сделал HTTP-модуль, который выполняет перенаправление для вас:

using System;
using System.Web;

namespace HttpsOnly
{
    /// <summary>
    /// Redirects the Request to HTTPS if it comes in on an insecure channel.
    /// </summary>
    public class HttpsOnlyModule : IHttpModule
    {
        public void Init(HttpApplication app)
        {
            // Note we cannot trust IsSecureConnection when 
            // in a webfarm, because usually only the load balancer 
            // will come in on a secure port the request will be then 
            // internally redirected to local machine on a specified port.

            // Move this to a config file, if your behind a farm, 
            // set this to the local port used internally.
            int specialPort = 443;

            if (!app.Context.Request.IsSecureConnection 
               || app.Context.Request.Url.Port != specialPort)
            {
               app.Context.Response.Redirect("https://" 
                  + app.Context.Request.ServerVariables["HTTP_HOST"] 
                  + app.Context.Request.RawUrl);    
            }
        }

        public void Dispose()
        {
            // Needed for IHttpModule
        }
    }
}

Затем просто скомпилируйте его в DLL, добавьте его в качестве ссылки на ваш проект и поместите его в web.config:

 <httpModules>
      <add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
 </httpModules>

Ответ 6

Что вам нужно сделать:

1) Добавьте ключ внутри web.config, в зависимости от сервера производства или стадии, как показано ниже

<add key="HttpsServer" value="stage"/>
             or
<add key="HttpsServer" value="prod"/>

2) Внутри файла Global.asax добавьте метод ниже.

void Application_BeginRequest(Object sender, EventArgs e)
{
    //if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
    if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
    {
        if (!HttpContext.Current.Request.IsSecureConnection)
        {
            if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
            }
            else
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
            }
        }
    }
}

Ответ 7

Это также зависит от бренда вашего балансира, для веб-мукс вам нужно будет искать http-заголовок X-WebMux-SSL-termination: true, чтобы понять, что входящий трафик был ssl. подробнее здесь: http://www.cainetworks.com/support/redirect2ssl.html

Ответ 8

Если поддержка SSL не настраивается на вашем сайте (т.е. должна включать/отключать https), вы можете использовать атрибут [RequireHttps] для любого действия контроллера/контроллера, которое вы хотите защитить.

Ответ 9

Для @Joe выше: "Это дает мне цикл переадресации. До того, как я добавил код, он работал нормально. Любые предложения? - Joe Nov 8 '11 at 4:13"

Это происходило и со мной, и, как я полагаю, происходит то, что был установлен балансировщик нагрузки, завершающий запрос SSL перед веб-сервером. Итак, мой веб-сайт всегда думал, что запрос был "http", даже если исходный браузер запросил его "https".

Я признаю, что это немного хаки, но для меня работала реализация свойства JustRedirected, которое я мог бы использовать, чтобы выяснить, что человек уже перенаправлен один раз. Итак, я проверяю конкретные условия, которые требуют перенаправления, и, если они выполняются, я устанавливаю это свойство (значение, хранящееся в сеансе) до перенаправления. Даже если условия http/https для перенаправления выполняются во второй раз, я обойду логику перенаправления и reset значение сеанса "JustRedirected" равное false. Вам понадобится ваша собственная логика условного тестирования, но здесь простая реализация свойства:

    public bool JustRedirected
    {
        get
        {
            if (Session[RosadaConst.JUSTREDIRECTED] == null)
                return false;

            return (bool)Session[RosadaConst.JUSTREDIRECTED];
        }
        set
        {
            Session[RosadaConst.JUSTREDIRECTED] = value;
        }
    }

Ответ 10

Я собираюсь бросить свои два цента. IF у вас есть доступ к стороне сервера IIS, тогда вы можете заставить HTTPS использовать привязки протокола. Например, у вас есть сайт под названием "Бла". В IIS вы настроили два сайта: Blah и Blah (Redirect). Для Blah настройте привязку HTTPSFTP, если вам нужно, убедитесь, что вы также принудительно подключили ее к безопасному соединению). Для Blah (Перенаправление) настройте привязку HTTP. Наконец, в разделе HTTP Redirect для Blah (Redirect) обязательно установите 301 перенаправление на https://blah.com с включенным точным назначением. Убедитесь, что каждый сайт в IIS указывает на его собственную корневую папку, иначе Web.config будет запутан. Также убедитесь, что на вашем сайте HTTPSed настроен HSTS, чтобы последующие запросы браузера всегда были привязаны к HTTPS и никаких переадресаций не было.

Ответ 11

- > Просто ADD [RequireHttps] поверх открытого класса HomeController: Controller.

- > И добавьте GlobalFilters.Filters.Add(новый RequireHttpsAttribute()); в 'protected void Application_Start()' в файле Global.asax.cs.

Заставляет ваше приложение полностью работать с HTTPS.

Ответ 12

Это более полный ответ, основанный на @Troy Hunt. Добавьте эту функцию в класс WebApplication в Global.asax.cs:

    protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        // Allow https pages in debugging
        if (Request.IsLocal)
        {
            if (Request.Url.Scheme == "http")
            {
                int localSslPort = 44362; // Your local IIS port for HTTPS

                var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;

                Response.Status = "301 Moved Permanently";
                Response.AddHeader("Location", path);
            }
        }
        else
        {
            switch (Request.Url.Scheme)
            {
                case "https":
                    Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
                    break;
                case "http":
                    var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
                    Response.Status = "301 Moved Permanently";
                    Response.AddHeader("Location", path);
                    break;
            }
        }
    }

(Чтобы включить SSL в вашей локальной сборке, включите ее в док-станции для проекта)

Ответ 13

Если вы используете ASP.NET Core, вы можете попробовать пакет nuget SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.

Тогда вам нужно добавить

app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);

Это также добавит заголовок HTTP StrictTransportSecurity ко всем запросам, выполненным с использованием схемы https.

Пример кода и документации https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code

Ответ 14

Еще одно преимущество при использовании http-модуля заключается в том, что если вы предоставляете его только в global.asax.cs, он проверяет SSL только на Application_BeginRequest, что означает, что ваше приложение не полностью защищено; он будет только перенаправлять на версию SSL с первой попытки, тогда пользователь может вырезать и вставить URL-адрес SSL и обойти его.