0

ASP.NET Webforms アプリケーションがあり、NWebsec を使用しています。意図したとおりに機能しますが、HSTS での最初の要求の後ではなく、最初から HTTPS を強制しようとしています。URL Rewrite を追加すると、リダイレクト ループに入ります。NWebsec と URL Rewrite を削除すると正常に動作します。NWebsec はどちらの場合でも機能しますが、HTTP をロードする場合、書き換えなしでは HTTPS を強制しません。はupgrade-insecure-requests単独では機能しません。

URL 書き換えルール

<rules>
    <rule name="HTTP to HTTPS redirect" stopProcessing="true">
        <match url="(.*)" />
        <conditions>
        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
        </conditions>
        <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>

NWebsec 構成

<nwebsec>
  <httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
    <redirectValidation enabled="true" />
      <setNoCacheHttpHeaders enabled="true" />
      <x-Robots-Tag enabled="false" noIndex="false" noFollow="false" noArchive="false" noOdp="false" noSnippet="false" noImageIndex="false" noTranslate="false" />
      <securityHttpHeaders>
        <x-Frame-Options policy="Deny" />
        <strict-Transport-Security max-age="60" includeSubdomains="true" httpsOnly="true" preload="false" />
        <x-Content-Type-Options enabled="true" />
        <x-Download-Options enabled="false" />
        <x-XSS-Protection policy="Disabled" blockMode="true" />
        <content-Security-Policy enabled="true">
          <upgrade-insecure-requests enabled="true"  />
        </content-Security-Policy>
      </securityHttpHeaders>
    </httpHeaderSecurityModule>
</nwebsec>
4

1 に答える 1

0

問題、PEBKAC を見つけました。ドキュメントをよく読むべきでした。

<redirectValidation enabled="true">
    <allowSameHostRedirectsToHttps enabled="true" />
</redirectValidation>
于 2016-08-05T02:10:22.553 に答える