在IIS / ASP.NET中配置SSL

Question

我會盡量簡短。 我已經在服務器上設置了證書。 我只是對在我的網站中配置SSL的正確方法有疑問。

我需要在根login.aspx以及admin和cart目錄中進行安全保護。 因此，在IIS中，您可以右鍵單擊站點中的文件或目錄，然后轉到“ Properties ->“ File/Directory Security選項卡->“ Secure Communications部分，然后單擊“ Edit ->選中“ Require secure channel (SSL) 。 這將導致通過https連接請求文件或目錄內容，而asp.net不會自動轉換請求。

因此，我沒有更改我的所有鏈接和重定向以使用絕對URL來指定http或https ，而是實現了一個http模塊，以按照此處的建議在 http和https之間自動切換。 但是，我仍然收到錯誤：

必須通過安全通道查看該頁面

因為它最初不是通過https發送的，而是在模塊中轉換的。 如果我在IIS中刪除設置，則可以正常工作； 頁面模塊自動將連接切換到https 。 我的問題是，可以在IIS中沒有SSL要求設置，而讓我的http模塊處理http / https切換嗎？ 我覺得這樣做會失去一層安全保障。 有人對此有見識嗎？

Answer 1

我認為不啟用“ Require secure channel選項是可以接受的。 僅當需要保護整個域（例如secure.domain.com）時，才啟用該選項。 對於具有部分內容需要HTTPS而又不需要部分內容的網站，我使用了您所描述的switcher方法。 當用戶請求登錄頁面時，他們將通過HTTPS重定向到同一頁面。 所有cookie被設置為僅通過SSL傳送：

<system.web>
        <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" />
</system.web>

如果不存在Cookie，則用戶將無法登錄，並且頁面將通過HTTP傳遞。