RequireHttpsとOutputCache属性の両方を使用するアクションを持つASP.NETMVC3アプリケーションがあります。
[RequireHttps]
[OutputCache(Duration = 14400, VaryByCustom = "CurrentUser"]
public ActionResult VersionB()
{
return View();
}
そのページに移動すると、期待どおりにHTTPSにリダイレクトされます。
ただし、最初のページの読み込み後も、HTTP経由でページにアクセスできます。属性を削除すると、OutputCacheHTTP経由でページにアクセスできなくなります。
OutputCacheがHTTPSを無視しているように見えるため、ページへの安全でないアクセスが許可されます。HTTPS経由で提供されるアクションをキャッシュすることも可能ですか?
属性の[RequireHttps]実装に欠陥があり、キャッシュが考慮されていません。
ここに修正があります:
[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = false)]
public class MyRequireHttpsAttribute : RequireHttpsAttribute
{
protected virtual bool AuthorizeCore(HttpContextBase httpContext)
{
return httpContext.Request.IsSecureConnection;
}
public override void OnAuthorization(AuthorizationContext filterContext)
{
if (!AuthorizeCore(filterContext.HttpContext))
{
this.HandleNonHttpsRequest(filterContext);
}
else
{
var cache = filterContext.HttpContext.Response.Cache;
cache.SetProxyMaxAge(new TimeSpan(0L));
cache.AddValidationCallback(this.CacheValidateHandler, null);
}
}
private void CacheValidateHandler(HttpContext context, object data, ref HttpValidationStatus validationStatus)
{
validationStatus = this.OnCacheAuthorization(new HttpContextWrapper(context));
}
protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext)
{
if (!AuthorizeCore(httpContext))
{
return HttpValidationStatus.IgnoreThisRequest;
}
return HttpValidationStatus.Valid;
}
}
その後:
[MyRequireHttps]
[OutputCache(Duration = 14400, VaryByCustom = "CurrentUser"]
public ActionResult VersionB()
{
return View();
}