[英]ASP.NET HTTPS redirect & HSTS headers
我们在Azure中托管了一个ASP.NET网站。
以前,我们实现了以下重写规则来强制使用HTTPS:
<rules>
<rule name="Redirect to https">
<match url="(.*)"/>
<conditions>
<add input="{HTTPS}" pattern="Off"/>
<add input="{REQUEST_METHOD}" pattern="^get$|^head$|^post$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"/>
</rule>
</rules>
现在,我们通过以下规则(从本指南开始 )介绍HSTS:
<outboundRules>
<rule name="Add Strict-Transport-Security only when using HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubdomains; preload" />
</rule>
</outboundRules>
我们是否需要这两个规则,还是可以删除HTTPS规则而只使用HSTS?
不,您同时需要。
HSTS仅应按照规范应用于安全请求。 将其应用于不安全的请求是没有意义的,因为中间人只能剥离标头。
如果HTTP发出了请求,则必须首先将其重定向到HTTPS。 然后在响应中返回HSTS标头。
引用规范: https : //tools.ietf.org/html/rfc6797#section-7.2
HSTS主机不得在通过非安全传输传送的HTTP响应中包含STS头字段。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.