0

我有一个 ASP.NET Webforms 应用程序,它正在使用 NWebsec。它按预期工作,但我试图从一开始就强制使用 HTTPS,而不是在使用 HSTS 进行初始请求之后。当我添加 URL 重写时,它会进入重定向循环。删除 NWebsec 和 URL 重写工作正常。NWebsec 在任何一种情况下都可以工作,但如果它们加载 HTTP,则无需重写,它不会强制使用 HTTPS。它upgrade-insecure-requests本身不起作用。

URL 重写规则

<rules>
    <rule name="HTTP to HTTPS redirect" stopProcessing="true">
        <match url="(.*)" />
        <conditions>
        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
        </conditions>
        <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>

NWebsec 配置

<nwebsec>
  <httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
    <redirectValidation enabled="true" />
      <setNoCacheHttpHeaders enabled="true" />
      <x-Robots-Tag enabled="false" noIndex="false" noFollow="false" noArchive="false" noOdp="false" noSnippet="false" noImageIndex="false" noTranslate="false" />
      <securityHttpHeaders>
        <x-Frame-Options policy="Deny" />
        <strict-Transport-Security max-age="60" includeSubdomains="true" httpsOnly="true" preload="false" />
        <x-Content-Type-Options enabled="true" />
        <x-Download-Options enabled="false" />
        <x-XSS-Protection policy="Disabled" blockMode="true" />
        <content-Security-Policy enabled="true">
          <upgrade-insecure-requests enabled="true"  />
        </content-Security-Policy>
      </securityHttpHeaders>
    </httpHeaderSecurityModule>
</nwebsec>
4

1 回答 1

0

发现问题,PEBKAC。应该更好地阅读文档

<redirectValidation enabled="true">
    <allowSameHostRedirectsToHttps enabled="true" />
</redirectValidation>
于 2016-08-05T02:10:22.553 回答