1

Webサイト全体をSSL(https://)の下に置く必要はありません が、PaymentControllerのみです。

そのコントローラーのみに使用しても大丈夫[RequireHttps]ですか、それとも各コントローラーに適用する必要がありますか?

ありがとうございました!

4

2 に答える 2

5

それはあなたが「OK」が何を意味するかによります。機密性の高いものがある場合は、実際にサイト全体にSSLを適用する必要があります。そうしないと、重要な要素の1つである認証Cookieが乗っ取られ、SSLが無意味になる可能性があります。

私の一般的な経験則では、サイトの一部にSSLが必要な場合は、サイト全体をSSLにする必要があります。なぜそれが問題だと思うのかさえ分かりません。SSLが少し多くのリソースを必要とするのは事実ですが、接続するのはこれが初めてであり、その後はSSLの顕著なオーバーヘッドはありません。

http://blogs.msdn.com/b/rickandy/archive/2011/05/02/securing-your-asp-net-mvc-3-application.aspxを参照してください

多くのWebサイトはSSL経由でログインし、ログイン後にHTTPにリダイレクトします。これは絶対に間違ったことです。ログインCookieは、ユーザー名とパスワードと同じくらい秘密であり、今ではクリアテキストでネットワークを介して送信しています。さらに、MVCパイプラインが実行される前に、ハンドシェイクを実行してチャネルを保護するための時間をすでに取っているため(これは、HTTPSをHTTPよりも遅くする原因の大部分です)、ログイン後にHTTPにリダイレクトすることはできません。 t現在のリクエストまたは将来のリクエストをはるかに高速にします。

于 2013-03-01T01:04:24.643 に答える
0

サイト全体でのみSSLを使用することをお勧めします。あなたが勝つ:-グーグルはSSLのみを好むので、グーグルの信頼が向上する-ユーザーの信頼が向上する

最近のCPUパワーは安価であり、何百万ものユーザーを処理していない限り、SSLのみの追加コストはわずかです。

于 2014-04-27T16:01:57.080 に答える