[英]how to require HTTPS but not redirect
我有一個帶有API部分的ASP.net Core應用程序。 我想所有訪問API都需要Https。
但是, Asp.net文檔指出
警告
不要在接收敏感信息的Web API上使用RequireHttpsAttribute。 RequireHttpsAttribute使用HTTP狀態代碼將瀏覽器從HTTP重定向到HTTPS。 API客戶端可能不理解或服從從HTTP到HTTPS的重定向。 這樣的客戶端可以通過HTTP發送信息。 Web API應該:
- 不監聽HTTP。
- 關閉狀態代碼為400(BadRequest)的連接,但不處理請求。
題
有沒有辦法在控制器/方法級別拒絕但不重定向傳入的https?
由於您使用的是asp.net核心,因此讓我們編寫一個ActionFilterAttribute
,如果請求方案是HTTP而不是HTTPS ,我們將其應用於要返回禁止結果而不是Redirect的任何控制器或操作
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]
public class RestrictHttpsAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext context)
{
if (!context.HttpContext.Request.IsHttps)
{
context.Result = new ForbidResult();
}
else
{
base.OnActionExecuting(context);
}
}
}
如何使用
這是在控制器上使用動作過濾器的方法:
[RestrictHttps]
public class ExampleController : Controller
{
// controller code goes here.
}
若要進一步閱讀,請在ASP.NET Core中檢出篩選器
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.