问题标签 [requiressl]

我知道在 ASP.NET MVC 中访问 SSL 页面的简单方法 - 通过[RequireSSL] 属性，但我对执行相反操作的最佳方法有点困惑。

我的网站上的标题栏中有许多链接，其中大多数链接不需要 SSL，我不想仍然使用 SSL。

futures 项目使得使用 自动重定向到 SSL 页面变得非常容易[RequireSSL(Redirect=true)]，但似乎并不容易摆脱这种情况并自动重定向回 http。

我错过了什么？

我通过在控制器操作上添加属性 [RequireSSL] 使我的登录页面启用了 Https，它工作正常。但是成功登录后它仍然在https环境中，但是该页面是非https页面。谁能给我解决方法如何从 https 跳到 http 模式？在这方面的任何帮助将不胜感激。

注意：这不是与 [RequireSSL] 属性相关的 ASP.NET MVC 问题。那是完全不同的——只是有相同的名字。

ASP.NET Forms 身份验证具有RequireSSL属性，该属性要求 ASP.NET 成员身份的身份验证 cookie 仅通过 SSL 发送。这是为了防止有人窃取 cookie（例如通过网络嗅探）并冒充用户。

所以我想知道 - MS 所做的所有安全意识更改（例如默认设置httpOnly cookie）为什么requireSSL不默认为true？

cookie 嗅探是否被视为“微不足道”的安全风险？

除非连接实际上允许我访问安全/个人数据，否则将其保留为假是否被认为是可接受的风险？如果这是不可接受的 - 我应该如何将用户返回到 http 并且仍然知道他们是谁？

为防止表单身份验证 cookie 在通过网络时被捕获和篡改，请确保对所有需要身份验证访问的页面使用 SSL，并通过在元素上设置 requireSSL="true" 将表单身份验证票证限制为 SSL 通道。

将表单身份验证 cookie 限制为 SSL 通道

在元素上设置 requireSSL="true"，如下代码所示。

通过设置 requireSSL="true"，您可以设置确定浏览器是否应将 cookie 发送回服务器的安全 cookie 属性。设置了安全属性后，浏览器只会将 cookie 发送到使用 HTTPS URL 请求的安全页面。

注意：如果您使用无 cookie 会话，则必须确保身份验证票证永远不会通过不安全的通道传输。

主题。我有一个 ASP.NET 2 MVC Worker Role Application，它与默认模板没有太大区别。

当尝试从 HTTP 重定向到 HTTPS 时（当我们访问由通常的 RequireSSL 属性实现保护的控制器时会发生这种情况），我们会得到带有“Bad Request”消息的空白页面。

IntelliTrace 显示：

抛出：“文件'/Views/Home/LogOnUserControl.aspx'不存在。” (System.Web.HttpException)

调用堆栈真的很短：

用户控件引用是 /Views/Shared/Site.Master 中的常用控件：

部分视图 LogOnUserControl.ashx 位于 Views/Shared 中（它是 ASCX，而不是 ASPX）。

当我们尝试访问需要 auth (FormsAuth) 和重定向的网站页面时，问题就出现了，因为 SSL。这些页面受 RequireSSL 属性保护（重定向 == true）：

显然，我们在 RELEASE 中编译了这种情况。

有谁知道，什么可能导致这个奇怪的异常以及如何摆脱它？

我有一个应用程序可以像这样接入BeginRequest并EndRequest设置和拆除 NHibernate 会话：

这在 IIS 中部署时可以正常工作，直到我选中“需要 SSL”框。一旦我这样做，我会得到一个NullReferenceExceptionat session.Dispose()。

我还没有调试过这个，是的，修复很简单，但我只是好奇“需要 SSL”如何影响请求的生命周期。在这些情况下，是否没有在服务器上设置会话？

编辑：为了澄清，我指的是应用程序的 IIS 配置中的“需要 SSL”选项，而不是RequireHttps控制器的属性。

我有一个混合 SSL 的 web 应用程序（asp.net 3.5）。所有与帐户相关的页面均通过 SSL 提供。大多数其他页面都是通过非 SSL 交付的。为了在 HTTPS 和 HTTP 之间自动切换，我使用了这个组件。最近有一个关于在非安全 Wifi 网络上劫持用户会话的能力的新闻。这应该可以通过捕获通过非 SSL 连接传输的 Cookie 来实现。

这促使我检查了我在此 Web 应用程序中的安全选择。我（再次）从 MSDN 中获取了这篇文章，并在我的 Formsauthentication 上尝试了requireSSL=true属性。在我启动 Web 应用程序之前，我意识到我的 User.Identity 在非 SSL 页面上将为空，因为包含此信息的 cookie 不会从 Web 浏览器发送或发送到 Web 浏览器。

我需要一种通过 SSL 连接对用户进行身份验证的机制......并记住此身份验证信息，即使在非 SSL 页面上也是如此。

在搜索 SO 时，我发现了这篇文章。在我看来，这是一个很好的解决方案。但是，我想知道在Sessionstate中存储登录信息是否可以找到解决方案？我正在考虑在 Global.asax 中捕获 Application_AuthenticateRequest。检查连接是否安全并检查 authcookie 或 Session。我还不知道我将如何实现这一点。也许你可以和我一起思考这个？

下午的人，

我想知道是否有人可以就我遇到的这个问题给我一个提示。我对我应该看到的东西并不乐观，我认为这是我遇到的主要问题。

我已更改 web.config 以使用以下内容：

对于我通过 http（而不是 https）发出请求时定义的一般 cookie，一切正常，因为它们没有出现，但是 asp.net_sessionid cookie（ ASP.NET_SessionId=epg3ebjv1hheqe45kgp0j055 ）仍然出现。这是正确的行为，不应该丢失吗？

更新：

在通过互联网进行更多搜索时，我发现这仅适用于表单 cookie。它不适用于会话 cookie。病了！但是，以下链接建议对其进行修复：如何保护 ASP.NET_SessionId cookie？

不幸的是，这并没有解决我的问题，cookie 仍然出现在请求中。

我知道你可以这样做：

如果您使用 Web Farm Framework，其中“控制器”服务器接收外部 SSL 443 请求，对其进行解密，然后使用 http 80（不使用 ssl）将其转发到主/辅助服务器怎么办？

在这种环境中，我尝试了 [RequireHttps] 属性，但它在 Firefox 中响应为“页面未正确重定向”。Firefox 检测到服务器正在以永远不会完成的方式重定向对该地址的请求。它认识到它不是 SSL，但因为它剥离了 SSL，MVC 将永远看不到 SSL 属性。

您将如何重写某些操作方法以在 Web 场的 MVC 3 中使用 https？你怎么能做到这一点，[RequireHttps]或者你必须在你的网站中挑选每个需要 ssl 和“URL 重写”的 URL？

编辑：

我更改了控制器以识别端口 443 流量并将其转发到网络场上的 https。我以为我可以只在控制器上加载 SSL 证书，但它们也需要在主节点和辅助节点上加载（或仅加载。）

在 asp.net mvc 3 中，我有一个具有 ssl 证书的站点，并且在 https 中运行得很好。唯一暴露的页面是登录页面。无论出于何种原因，它都不会在 https 中加载。这是我的相关代码（如果我遗漏了一些内容，将根据要求发布更多内容）。

网络配置

全球.asax

账户控制人

当登录视图加载时，它不在 Https 中。我错过了什么？

在 IIS7.5 中，对于我的 Web 应用程序，如果我将“需要 SSL”设置为选中并将客户端证书选择为“忽略”，是否等于接受任何 SSL 证书并使用任何证书验证来自客户端的请求？