1

できるだけ簡潔にしようと思います。サーバーに証明書が既にセットアップされています。Web サイトで SSL を構成する適切な方法について質問があります。

login.aspxルートとディレクトリを保護する必要がありadminます。cartしたがって、IIS では、サイト内のファイルまたはディレクトリを右クリックして、Properties->File/Directory Securityタブ ->Secure Communicationsセクションに移動し、 Edit-> チェックをクリックしますRequire secure channel (SSL)。これにより、接続を介してファイルまたはディレクトリの内容が要求されhttps、asp.net は要求を自動的に変換しません。

したがって、すべてのリンクとリダイレクトを変更して絶対 URL を使用してhttpまたはを指定する代わりに、ここで提案されているようにとを自動的に切り替えるhttp モジュールhttpsを実装しました。ただし、まだエラーが発生します。httphttps

ページは安全なチャンネルで表示する必要があります

最初に を介して送信されたのではなくhttps、モジュールで変換されたためです。IIS で設定を削除すると、問題なく動作します。ページ モジュールは自動的に接続を に切り替えますhttps。私の質問は、IIS で SSL 要件を設定せずに、http モジュールで http/https の切り替えを処理するだけで大​​丈夫ですか? そうすることで、ここでセキュリティのレイヤーが失われる気がします。誰かがこれについて何か洞察を持っていますか?

4

1 に答える 1

0

オプションを有効にしないことは許容できると思いRequire secure channelます。secure.domain.com のように、ドメイン全体を保護する必要がある場合にのみ、このオプションを有効にしました。HTTPSにする必要がある部分とそうでない部分があるサイトでは、あなたが説明したスイッチャー方式を使用します。ユーザーがログイン ページを要求すると、HTTPS 経由で同じページにリダイレクトされます。すべての Cookie は、SSL 経由でのみ配信されるように設定されています。

<system.web>
        <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />
</system.web>

Cookie がない場合、ユーザーはログインせず、ページは HTTP 経由で配信されます。

于 2012-09-06T17:17:23.377 に答える