http ページと https ページが混在するサイトがあります。サイトのルートの下で、1 つのフォルダーにはすべての http ページが含まれ、別のフォルダーにはすべての https ページが含まれます。ログインは https 経由で行われ、ユーザーは他のページに移動します。セッションが期限切れになると、フォーム認証はログイン ページにリダイレクトされますが、ブラウザは http を使用し、ユーザーは 403 エラーを受け取ります。
セッションタイムアウトをオーバーライドして https に送信する方法はありますか?
1 つの方法は、IIS を構成して http トラフィックを https にリダイレクトすることです。
http://support.microsoft.com/kb/839357
そのような混合モードで考慮すべき1つのこと:
SSL ページには一般的な攻撃があります。つまり、暗号化されていないセッション Cookie を取得するために (https リソースに対して) http 要求を行います。これが、セッション Cookie を暗号化のみに構成する理由です (http 経由で送信されません)。あなたの http と https ページはセッションを共有していると思います。つまり、この設定を行うことができず、サイトがこの攻撃に対して脆弱になっています。しかし、これを知っておくのは良いことです。 http://anubhavg.wordpress.com/2008/02/05/how-to-mark-session-cookie-secure/