ASP.NET HTTPS重定向和HSTS标头
[英]ASP.NET HTTPS redirect & HSTS headers
问题描述
我们在Azure中托管了一个ASP.NET网站。
以前,我们实现了以下重写规则来强制使用HTTPS:
<rules>
<rule name="Redirect to https">
<match url="(.*)"/>
<conditions>
<add input="{HTTPS}" pattern="Off"/>
<add input="{REQUEST_METHOD}" pattern="^get$|^head$|^post$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"/>
</rule>
</rules>
现在,我们通过以下规则(从本指南开始 )介绍HSTS:
<outboundRules>
<rule name="Add Strict-Transport-Security only when using HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubdomains; preload" />
</rule>
</outboundRules>
我们是否需要这两个规则,还是可以删除HTTPS规则而只使用HSTS?
1 个解决方案
解决方案1
4 已采纳 2017-06-20 09:40:07
不,您同时需要。
HSTS仅应按照规范应用于安全请求。 将其应用于不安全的请求是没有意义的,因为中间人只能剥离标头。
如果HTTP发出了请求,则必须首先将其重定向到HTTPS。 然后在响应中返回HSTS标头。
引用规范: https : //tools.ietf.org/html/rfc6797#section-7.2
HSTS主机不得在通过非安全传输传送的HTTP响应中包含STS头字段。
如何在ASP.NET页面生命周期中从HTTP重定向到HTTPS?
[英]How to redirect from HTTP to HTTPS in the ASP.NET page lifecycle?
IIS URL HTTP 到 HTTPS 重定向不适用于 ASP.Net 应用程序
[英]IIS URL HTTP to HTTPS redirect not working on ASP.Net application
不公开身份验证信息的ASP.NET MVC HTTPS重定向
[英]ASP.NET MVC HTTPS Redirect without exposing authentication information
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
ASP.NET Core 将 http 重定向到 https
在ASP.NET中从Https重定向到Https
ASP.NET重定向到Https问题-错误401
使用www前缀的ASP.NET HTTP到HTTPS重定向
如何在ASP.NET页面生命周期中从HTTP重定向到HTTPS?
如何在 ASP.Net Core 6.0 中实现 HSTS header?
ASP.net设计问题,如果在HTTPS上则强制重定向到HTTP
重定向到https模式asp.net MVC Web API请求
IIS URL HTTP 到 HTTPS 重定向不适用于 ASP.Net 应用程序
不公开身份验证信息的ASP.NET MVC HTTPS重定向
相关标签