c# - RequireHttpsAttribute 和加密的请求数据

Question

我有一个接受敏感数据的控制器操作。

public ActionResult TakeSensitiveData(SensitiveData data){
 data.SaveSomewhere();
}

为确保数据安全，我希望确保某些请求是使用 HTTPS（SSLv3、TLS 1）发出的。我考虑使用的方法之一是我的操作中的 RequireHttpsAttribute：

[RequireHttps]  
public ActionResult TakeSensitiveData(SensitiveData data){
     data.SaveSomewhere();
}

但是，在对此进行测试时，我的提琴手透露，对该操作发出的 HTTP 请求是 302 重定向到 HTTPS。我的问题是这样的：

如果我发出了一个 302 重定向到 HTTPS 的请求，我是否已经在重定向之前通过 HTTP 发送了敏感数据？

score 1 · Accepted Answer

您需要将数据直接发布到 HTTPS。

注意：如果您有敏感数据，则无论如何都必须在 HTTPS 页面上输入。所以回发将是 HTTPS（或者你会从 Firefox 收到关于将 HTTPS 数据发布到 HTTP 的讨厌警告）。

1 回答 1