我有一个混合了 http 和 https 页面的网站。在站点的根目录下,一个文件夹包含所有 http 页面,另一个文件夹包含所有 https 页面。通过 https 登录并将用户发送到其他页面。当会话过期时,表单身份验证会重定向到登录页面,但浏览器使用 http 并且用户收到 403 错误。
有什么方法可以覆盖会话超时以将其发送到 https?
问问题
1594 次
1 回答
1
一种方法是配置 IIS 以将 http 流量重定向到 https
http://support.microsoft.com/kb/839357
像这样的混合模式要考虑的一件事:
SSL 页面有一种常见的攻击方式,即发出 http 请求(对 https 资源)以获取未加密的会话 cookie。这就是为什么要将会话 cookie 配置为仅加密(不会通过 http 发送)的原因。我猜你的 http 和 https 页面共享会话,这意味着你不能设置这个设置,使你的网站容易受到这种攻击。但很高兴知道这一点。 http://anubhavg.wordpress.com/2008/02/05/how-to-mark-session-cookie-secure/
另一篇您可能会觉得有帮助 的文章http://www.west-wind.com/Weblog/posts/4057.aspx
于 2010-06-09T15:41:17.023 回答