1

我不需要将整个网站置于SSL(https://)之下, 而只需将其置于支付控制器之下。

可以[RequireHttps]仅用于该控制器还是应该应用于每个控制器?

谢谢!

4

2 回答 2

5

这取决于您所说的“确定”是什么意思。如果您有一些敏感的东西,那么您真的应该将 SSL 应用于整个站点,否则其中一个关键因素,即身份验证 cookie,可能会被劫持并使您的 SSL 毫无意义。

我的一般经验法则是,如果网站的一部分需要 SSL,那么整个网站都应该是 SSL。我什至不确定你为什么认为这是一个问题。SSL 确实需要稍微多一点的资源,但这只是您第一次连接,之后,SSL 就没有明显的开销了。

请参阅http://blogs.msdn.com/b/rickandy/archive/2011/05/02/securing-your-asp-net-mvc-3-application.aspx

许多网站通过 SSL 登录并在您登录后重定向回 HTTP,这绝对是错误的做法。您的登录 cookie 与您的用户名 + 密码一样保密,现在您通过网络以明文形式发送它。此外,在 MVC 管道运行之前,您已经花时间执行握手并保护通道(这是使 HTTPS 比 HTTP 慢的主要原因),因此在您登录后重定向回 HTTP 不会' t 使当前请求或未来请求更快。

于 2013-03-01T01:04:24.643 回答
0

最好为整个站点使用 SSL-only。您赢了: - 更好的 Google 信任,因为 Google 更喜欢仅使用 SSL - 更好地信任您的用户

这些天 CPU 功率很便宜,除非您处理数百万用户,否则 SSL-only-extracost 是微不足道的。

于 2014-04-27T16:01:57.080 回答