Кращий спосіб на asp.net змусити https для всього сайту?

Близько 6 місяців тому я розгорнув сайт, де кожен запит повинен був бути над https. Єдиний спосіб, коли я міг переконатися, що кожен запит на сторінку перевищував https, - це перевірити його у події завантаження сторінки. Якщо запит не був над http, я б відповів.redirect (" https://example.com ")

Чи є кращий спосіб - в ідеалі деякі налаштування в web.config?

Будь ласка, використовуйте HSTS (сувора безпека транспорту HTTP)

від http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

Оригінальний відповідь (замінено вищезгаданим 4 грудня 2015 року)

в основному

protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}

це було б у global.asax.cs (або global.asax.vb)

Я не знаю способу вказати це в web.config

Інше, що ви можете зробити - це використовувати HSTS , повернувши в браузер заголовок "Строгий транспорт-безпека". Веб-переглядач повинен підтримувати це (і зараз це в першу чергу Chrome і Firefox), але це означає, що після встановлення браузер не надсилатиме запити на сайт через HTTP, а замість цього переводить їх на запити HTTPS перед тим, як видавати їх . Спробуйте це в поєднанні з переспрямуванням з HTTP:

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  switch (Request.Url.Scheme)
  {
    case "https":
      Response.AddHeader("Strict-Transport-Security", "max-age=300");
      break;
    case "http":
      var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
      Response.Status = "301 Moved Permanently";
      Response.AddHeader("Location", path);
      break;
  }
}

Веб-браузери, які не знають HSTS, просто ігнорують заголовок, але все-таки потраплять у заяву перемикання та надсилаються на HTTPS.

Модуль IIS7 дозволить вам перенаправляти.

    <rewrite>
        <rules>
            <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                <match url="(.*)"/>
                <conditions>
                    <add input="{HTTPS}" pattern="^OFF$"/>
                </conditions>
                <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
            </rule>
        </rules>
    </rewrite>

Для тих, хто використовує ASP.NET MVC. Ви можете використовувати наступне, щоб форсувати SSL / TLS через HTTPS на всьому сайті двома способами:

Важкий шлях

1 - Додайте RequireHttpsAttribute до глобальних фільтрів:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

2 - змусити маркери проти підробки використовувати SSL / TLS:

AntiForgeryConfig.RequireSsl = true;

3 - Потрібно, щоб файли cookie за замовчуванням вимагали HTTPS, змінивши файл Web.config:

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

4 - Використовуйте пакет NWebSec.Owin NuGet і додайте наступний рядок коду, щоб дозволити сувору безпеку транспорту по всьому сайту. Не забудьте додати директиву попереднього завантаження нижче та подати свій сайт на сайт попереднього завантаження HSTS . Більше інформації тут і тут . Зауважте, що якщо ви не використовуєте OWIN, на веб- сайті NWebSec є метод Web.config, про який можна прочитати .

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());

5 - Використовуйте пакет NWebSec.Owin NuGet та додайте наступний рядок коду, щоб увімкнути прив'язку відкритого ключа (HPKP) на сайті. Більше інформації тут і тут .

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
    .Sha256Pins(
        "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
        "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
    .MaxAge(days: 30));

6 - Включіть схему https у будь-яку використану URL-адресу. HTTP-заголовок політики безпеки вмісту (CSP) та цілісність субресурсів (SRI) не грають добре, коли ви імітуєте схему в деяких браузерах. Краще бути явним щодо HTTPS. напр

<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>

Легкий шлях

Використовуйте шаблон проекту ASP.NET MVC Boilerplate Visual Studio, щоб створити проект із усім цим та багато іншого, який можна вбудувати. Ви також можете переглянути код на GitHub .

Якщо ви не можете встановити це в IIS з будь-якої причини, я б створив модуль HTTP, який виконує переадресацію для вас:

using System;
using System.Web;

namespace HttpsOnly
{
    /// <summary>
    /// Redirects the Request to HTTPS if it comes in on an insecure channel.
    /// </summary>
    public class HttpsOnlyModule : IHttpModule
    {
        public void Init(HttpApplication app)
        {
            // Note we cannot trust IsSecureConnection when 
            // in a webfarm, because usually only the load balancer 
            // will come in on a secure port the request will be then 
            // internally redirected to local machine on a specified port.

            // Move this to a config file, if your behind a farm, 
            // set this to the local port used internally.
            int specialPort = 443;

            if (!app.Context.Request.IsSecureConnection 
               || app.Context.Request.Url.Port != specialPort)
            {
               app.Context.Response.Redirect("https://" 
                  + app.Context.Request.ServerVariables["HTTP_HOST"] 
                  + app.Context.Request.RawUrl);    
            }
        }

        public void Dispose()
        {
            // Needed for IHttpModule
        }
    }
}

Потім просто компілюйте його в DLL, додайте його як посилання на ваш проект і розмістіть це в web.config:

 <httpModules>
      <add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
 </httpModules>

Що вам потрібно зробити:

1) Додайте ключ всередину web.config, залежно від сервера виробництва або етапу, як показано нижче

<add key="HttpsServer" value="stage"/>
             or
<add key="HttpsServer" value="prod"/>

2) Всередині вашого файла Global.asax додайте метод нижче.

void Application_BeginRequest(Object sender, EventArgs e)
{
    //if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
    if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
    {
        if (!HttpContext.Current.Request.IsSecureConnection)
        {
            if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
            }
            else
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
            }
        }
    }
}

Якщо підтримка SSL не налаштована на вашому сайті (тобто має бути можливість включити / вимкнути https) - ви можете використовувати атрибут [RequireHttps] для будь-яких дій контролера / контролера, які ви хочете захистити.

Це також залежить від марки вашого балансира, для веб-файлу, вам потрібно буде шукати заголовка http, X-WebMux-SSL-termination: trueщоб зрозуміти, що вхідний трафік був ssl. подробиці тут: http://www.cainetworks.com/support/redirect2ssl.html

Для @Joe вище, "Це дає мені цикл переспрямування. Перш ніж я додав код, він спрацював нормально. Будь-які пропозиції? - Джо 8 листопада '11 о 4:13"

Це сталося і зі мною, і, на мою думку, трапляється те, що перед веб-сервером був балансир навантаження, який закінчував SSL-запит. Отже, мій веб-сайт завжди думав, що запит є "http", навіть якщо оригінальний браузер просив його бути "https".

Зізнаюсь, це трохи хакітно, але те, що для мене спрацювало, було реалізувати властивість "JustRedirected", яку я міг би використати, щоб з'ясувати, що людина вже була перенаправлена ​​один раз. Отже, я перевіряю конкретні умови, які вимагають переспрямування, і, якщо вони виконані, я встановлюю це властивість (значення, збережене в сеансі) перед перенаправленням. Навіть якщо умови перенаправлення http / https виконані вдруге, я обходжу логіку перенаправлення та скидаю значення сеансу "JustRedirected" на значення false. Вам знадобиться власна логіка тестування, але ось проста реалізація властивості:

    public bool JustRedirected
    {
        get
        {
            if (Session[RosadaConst.JUSTREDIRECTED] == null)
                return false;

            return (bool)Session[RosadaConst.JUSTREDIRECTED];
        }
        set
        {
            Session[RosadaConst.JUSTREDIRECTED] = value;
        }
    }

Я збираюся кинути свої два центи. Якщо у вас є доступ до сервера IIS, тоді ви можете змусити HTTPS використовувати протоколи прив'язки. Наприклад, у вас є веб-сайт під назвою Blah . У IIS ви встановите два сайти: Blah та Blah (Перенаправлення) . Для Blah налаштовуйте лише HTTPSприв'язку (і FTPякщо вам потрібно, переконайтесь, що також накладіть її на безпечне з'єднання). Для Blah (перенаправлення) налаштовуйте лише HTTPприв'язку. Нарешті, у розділі перенаправлення HTTP для Blah (перенаправлення) переконайтесь, що встановіть переспрямування 301 на Web.confighttps://blah.com , з точним пунктом призначення. Переконайтеся, що кожен сайт в IIS вказує на ньоговласна коренева папка, інакше все буде накручено. Також переконайтеся, що HSTSна вашому веб-сайті HTTPSed налаштовано так, щоб наступні запити браузера завжди змушені переносити HTTPS і не відбуватись переадресації.

Це більш повна відповідь на основі @Troy Hunt's. Додайте цю функцію до свого WebApplicationкласу в Global.asax.cs:

    protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        // Allow https pages in debugging
        if (Request.IsLocal)
        {
            if (Request.Url.Scheme == "http")
            {
                int localSslPort = 44362; // Your local IIS port for HTTPS

                var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;

                Response.Status = "301 Moved Permanently";
                Response.AddHeader("Location", path);
            }
        }
        else
        {
            switch (Request.Url.Scheme)
            {
                case "https":
                    Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
                    break;
                case "http":
                    var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
                    Response.Status = "301 Moved Permanently";
                    Response.AddHeader("Location", path);
                    break;
            }
        }
    }

(Щоб увімкнути SSL у вашій локальній збірці, увімкніть його в доці властивостей для проекту)

-> Просто додайте [RequireHttps] на вершині публічного класу HomeController: Controller.

-> І додати GlobalFilters.Filters.Add (новий RequireHttpsAttribute ()); у методі "захищеної недійсності Application_Start ()" у файлі Global.asax.cs.

Що змушує всю вашу програму до HTTPS.

Я колись шукав найкращих практик, які мають сенс, і знайшов наступне, що працювало для мене вдосконалено. Я сподіваюся, що це врятує вас колись.

Використання файлу Config (наприклад, веб-сайту asp.net) https://blogs.msdn.microsoft.com/kaushal/2013/05/22/http-to-https-redirects-on-iis-7-x-and- вище /

або на власному сервері https://www.sslshopper.com/iis7-redirect-http-to-https.html

[КОРОТКИЙ ВІДПОВІСТЬ] Просто Код, наведений нижче, знаходиться всередині

<system.webServer> 
 <rewrite>
     <rules>
       <rule name="HTTP/S to HTTPS Redirect" enabled="true" 
           stopProcessing="true">
       <match url="(.*)" />
        <conditions logicalGrouping="MatchAny">
        <add input="{SERVER_PORT_SECURE}" pattern="^0$" />
       </conditions>
       <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" 
        redirectType="Permanent" />
        </rule>
       </rules>
 </rewrite>

В IIS10 (Windows 10 і Server 2016), починаючи з версії 1709, існує новий, простіший варіант включення HSTS для веб-сайту.

Microsoft описують переваги нового підходу тут , і надає безліч різних прикладів того , як здійснити зміну програмно або шляхом безпосереднього редагування файлу ApplicationHost.config (який , як web.config , але працює на IIS рівня, а не індивідуальний рівня сайту ). ApplicationHost.config можна знайти в C: \ Windows \ System32 \ inetsrv \ config.

Тут я окреслив два приклади методів, щоб уникнути гниття посилань.

Спосіб 1 - Відредагуйте файл ApplicationHost.config безпосередньо між <site>тегами, додайте цей рядок:

<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />

Спосіб 2 - Командний рядок: Виконайте наступне з піднятого командного рядка (тобто правою мишкою на CMD та запустіть як адміністратор). Не забудьте поміняти Contoso на ім’я свого сайту, як це відображається в IIS Manager.

c:
cd C:\WINDOWS\system32\inetsrv\
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost

Інші методи, які Microsoft пропонує в цих статтях, можуть бути кращими варіантами, якщо ви перебуваєте в розміщеному середовищі, де у вас обмежений доступ.

Майте на увазі, що IIS10 версія 1709 зараз доступна в Windows 10, але для Windows Server 2016 вона знаходиться на іншій доріжці випуску, і не буде випущена як патч чи пакет оновлення. Тут див. Подробиці про 1709 рік.

Якщо ви використовуєте ASP.NET Core, ви можете спробувати нульовий пакет SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.

Тоді вам потрібно лише додати

app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);

Це також додасть заголовок HTTP StrictTransportSecurity до всіх запитів, зроблених за схемою https.

Приклад коду та документації https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code