Лучший способ в asp.net принудительно использовать https для всего сайта?
Вопрос
Около 6 месяцев назад я запустил сайт, на котором каждый запрос должен был выполняться через https.В то время я мог найти единственный способ гарантировать, что каждый запрос к странице выполняется через https, — это проверить его в событии загрузки страницы.Если бы запрос не был через http, я бы сделал ответ.redirect("https://example.com")
Есть ли лучший способ - в идеале какие-то настройки в web.config?
Решение
Пожалуйста, используйте HSTS
от http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
Оригинальный ответ (заменено вышеуказанным 4 декабря 2015 г.)
по сути
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}
это будет в файле global.asax.cs (или global.asax.vb)
я не знаю, как указать это в web.config
Другие советы
Другая вещь, которую вы можете сделать, это использовать HSTS вернув браузеру заголовок «Strict-Transport-Security».Браузер должен поддерживать это (и в настоящее время это делают в первую очередь Chrome и Firefox), но это означает, что после настройки браузер не будет отправлять запросы к сайту через HTTP, а вместо этого будет переводить их в HTTPS-запросы перед их выдачей. .Попробуйте это в сочетании с перенаправлением с HTTP:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
switch (Request.Url.Scheme)
{
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=300");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
Браузеры, не поддерживающие HSTS, просто проигнорируют заголовок, но все равно будут перехвачены оператором переключения и отправлены на HTTPS.
Модуль IIS7 позволит вам перенаправить.
<rewrite>
<rules>
<rule name="Redirect HTTP to HTTPS" stopProcessing="true">
<match url="(.*)"/>
<conditions>
<add input="{HTTPS}" pattern="^OFF$"/>
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
</rule>
</rules>
</rewrite>
Для тех, кто использует ASP.NET MVC.Вы можете использовать следующее, чтобы принудительно использовать SSL/TLS через HTTPS для всего сайта двумя способами:
Трудный путь
1. Добавьте атрибут RequireHttpsAttribute в глобальные фильтры:
GlobalFilters.Filters.Add(new RequireHttpsAttribute());
2 — принудительно использовать токены Anti-Forgery для использования SSL/TLS:
AntiForgeryConfig.RequireSsl = true;
3. Требовать, чтобы файлы cookie требовали HTTPS по умолчанию, изменив файл Web.config:
<system.web>
<httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>
4. Используйте пакет NuGet NWebSec.Owin и добавьте следующую строку кода, чтобы включить строгую транспортную безопасность на сайте.Не забудьте добавить директиву Preload ниже и отправить свой сайт в Сайт предварительной загрузки HSTS.Больше информации здесь и здесь.Обратите внимание: если вы не используете OWIN, существует метод Web.config, о котором вы можете прочитать на странице НВебСек сайт.
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());
5. Используйте пакет NuGet NWebSec.Owin и добавьте следующую строку кода, чтобы включить закрепление открытого ключа (HPKP) на всем сайте.Больше информации здесь и здесь.
// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
.Sha256Pins(
"Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
"Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
.MaxAge(days: 30));
6. Включите схему https во все используемые URL-адреса. Политика безопасности контента (CSP) HTTP-заголовок и Целостность субресурсов (SRI) не играйте вежливо, имитируя схему в некоторых браузерах.Лучше четко указать HTTPS.например
<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>
Простой способ
Использовать Шаблон ASP.NET MVC Шаблон проекта Visual Studio для создания проекта со всем этим и многим другим.Вы также можете просмотреть код на GitHub.
Если по какой-либо причине вы не можете настроить это в IIS, я бы создал HTTP-модуль, который выполняет перенаправление за вас:
using System;
using System.Web;
namespace HttpsOnly
{
/// <summary>
/// Redirects the Request to HTTPS if it comes in on an insecure channel.
/// </summary>
public class HttpsOnlyModule : IHttpModule
{
public void Init(HttpApplication app)
{
// Note we cannot trust IsSecureConnection when
// in a webfarm, because usually only the load balancer
// will come in on a secure port the request will be then
// internally redirected to local machine on a specified port.
// Move this to a config file, if your behind a farm,
// set this to the local port used internally.
int specialPort = 443;
if (!app.Context.Request.IsSecureConnection
|| app.Context.Request.Url.Port != specialPort)
{
app.Context.Response.Redirect("https://"
+ app.Context.Request.ServerVariables["HTTP_HOST"]
+ app.Context.Request.RawUrl);
}
}
public void Dispose()
{
// Needed for IHttpModule
}
}
}
Затем просто скомпилируйте его в DLL, добавьте как ссылку на свой проект и поместите в web.config:
<httpModules>
<add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
</httpModules>
Что вам нужно сделать, это:
1) Добавьте ключ внутри web.config, в зависимости от производственного или промежуточного сервера, как показано ниже.
<add key="HttpsServer" value="stage"/>
or
<add key="HttpsServer" value="prod"/>
2) Внутри вашего файла Global.asax добавьте метод ниже.
void Application_BeginRequest(Object sender, EventArgs e)
{
//if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
{
if (!HttpContext.Current.Request.IsSecureConnection)
{
if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
}
else
{
HttpContext.Current.Response.Redirect(
Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
}
}
}
}
Если поддержка SSL не настраивается на вашем сайте (т.должен иметь возможность включать/выключать https) — вы можете использовать атрибут [RequireHttps] для любого действия контроллера/контроллера, которое вы хотите защитить.
Это также зависит от марки вашего балансировщика: для веб-мультиплексора вам нужно будет найти http-заголовок. X-WebMux-SSL-termination: true
чтобы понять, что входящий трафик был SSL.подробности здесь: http://www.cainetworks.com/support/redirect2ssl.html
Для @Joe выше: «Это дает мне цикл перенаправления.До того, как я добавил код, он работал нормально.Какие-либо предложения?— Джо
Это происходило и со мной, и я думаю, что произошло то, что балансировщик нагрузки завершал запрос SSL перед веб-сервером.Итак, мой веб-сайт всегда думал, что это запрос «http», даже если исходный браузер запрашивал его как «https».
Я признаю, что это немного хаотично, но мне помогло реализовать свойство JustRedirected, которое я мог бы использовать, чтобы выяснить, что человек уже однажды был перенаправлен.Итак, я проверяю конкретные условия, которые гарантируют перенаправление, и, если они выполняются, я устанавливаю это свойство (значение, хранящееся в сеансе) перед перенаправлением.Даже если условия перенаправления http/https выполняются во второй раз, я обхожу логику перенаправления и сбрасываю значение сеанса «JustRedirected» на false.Вам понадобится собственная логика условного тестирования, но вот простая реализация свойства:
public bool JustRedirected
{
get
{
if (Session[RosadaConst.JUSTREDIRECTED] == null)
return false;
return (bool)Session[RosadaConst.JUSTREDIRECTED];
}
set
{
Session[RosadaConst.JUSTREDIRECTED] = value;
}
}
Я вставлю свои два цента. ЕСЛИ у вас есть доступ к серверной части IIS, тогда вы можете принудительно использовать HTTPS, используя привязки протокола.Например, у вас есть сайт под названием Бла.В IIS вы должны настроить два сайта: Бла, и Бла (перенаправление).Для Бла только настроить HTTPS
обязательность (и FTP
если вам нужно, обязательно принудительно подключите его через безопасное соединение).Для Бла (перенаправление) только настроить HTTP
привязка.Наконец, в HTTP-перенаправление раздел для Бла (перенаправление) обязательно установите 301 редирект на https://blah.com
, с включенным точным пунктом назначения.Убедитесь, что каждый сайт в IIS указывает на свой собственный корневая папка, в противном случае Веб.конфигурация все испортится.Также убедитесь, что у вас есть HSTS
настроен на вашем сайте с поддержкой HTTPS, чтобы последующие запросы браузера всегда выполнялись по протоколу HTTPS и никаких перенаправлений не происходило.
Это более полный ответ, основанный на @Troy Hunt.Добавьте эту функцию в свой WebApplication
класс в Global.asax.cs
:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
// Allow https pages in debugging
if (Request.IsLocal)
{
if (Request.Url.Scheme == "http")
{
int localSslPort = 44362; // Your local IIS port for HTTPS
var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
}
}
else
{
switch (Request.Url.Scheme)
{
case "https":
Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
break;
case "http":
var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
Response.Status = "301 Moved Permanently";
Response.AddHeader("Location", path);
break;
}
}
}
(Чтобы включить SSL в локальной сборке, включите его в панели «Свойства» проекта)
-> Просто ДОБАВЬТЕ [RequireHttps] поверх общедоступного класса HomeController:Контроллер.
-> И добавьте GlobalFilters.Filters.Add(new RequireHttpsAttribute());в методе «protected void Application_Start()» в файле Global.asax.cs.
Это переводит все ваше приложение на HTTPS.
Я потратил некоторое время на поиск лучших практик, которые имели бы смысл, и нашел следующее, которое идеально сработало для меня.Надеюсь, это когда-нибудь тебя спасет.
С использованием Конфигурационный файл (например, веб-сайт asp.net)https://blogs.msdn.microsoft.com/kaushal/2013/05/22/http-to-https-redirects-on-iis-7-x-and-higher/
или на своем сервереhttps://www.sslshopper.com/iis7-redirect-http-to-https.html
Короткий ответ] Просто код ниже заходит внутрь
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP/S to HTTPS Redirect" enabled="true"
stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAny">
<add input="{SERVER_PORT_SECURE}" pattern="^0$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}"
redirectType="Permanent" />
</rule>
</rules>
</rewrite>
Если вы используете ASP.NET Core, вы можете попробовать пакет nuget SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.
Тогда вам нужно только добавить
app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);
Это также добавит заголовок HTTP StrictTransportSecurity ко всем запросам, выполненным с использованием схемы https.
Пример кода и документации https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code
В IIS10 (Windows 10 и Server 2016), начиная с версии 1709, появился новый, более простой вариант включения HSTS для веб-сайта.
Microsoft описывает преимущества нового подхода здесь, и предоставить множество различных примеров того, как реализовать изменение программным путем или путем непосредственного редактирования файла ApplicationHost.config (который похож на web.config, но работает на уровне IIS, а не на уровне отдельного сайта).ApplicationHost.config можно найти в папке C:\Windows\System32\inetsrv\config.
Я изложил здесь два примера метода, чтобы избежать порчи ссылок.
Способ 1 - редактировать файл ApplicationHost.Config напрямую между <site>
теги, добавьте эту строку:
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
Способ 2 - Командная строка:Выполните следующее из командной строки с повышенными привилегиями (т. е.щелкните правой кнопкой мыши по CMD и запустите от имени администратора).Не забудьте поменять Contoso на имя вашего сайта, как оно отображается в диспетчере IIS.
c:
cd C:\WINDOWS\system32\inetsrv\
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Другие методы, предлагаемые Microsoft в этих статьях, могут быть лучшими вариантами, если вы находитесь в размещенной среде, к которой у вас ограниченный доступ.
Имейте в виду, что IIS10 версии 1709 сейчас доступен в Windows 10, но для Windows Server 2016 он находится в другой версии выпуска и не будет выпущен в виде исправления или пакета обновления.Видеть здесь подробнее о 1709 г.