Лучший способ в asp.net заставить HTTPS для всего сайта?


193

Около 6 месяцев назад я развернул сайт, где каждый запрос должен был быть через https. В то время я мог найти единственный способ убедиться, что каждый запрос к странице превышал https, - это проверить это в событии загрузки страницы. Если бы запрос не был через http, я бы ответил response.redirect (" https://example.com ")

Есть ли лучший способ - в идеале, некоторые настройки в web.config?


проверьте мой ответ здесь stackoverflow.com/questions/33882350/…
Shady Sherif

Ответы:


251

Пожалуйста, используйте HSTS (HTTP Strict Transport Security)

от http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

Оригинальный ответ (заменен вышеуказанным 4 декабря 2015 г.)

в принципе

protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}

это будет идти в global.asax.cs (или global.asax.vb)

я не знаю, как указать это в web.config


7
Это работает, но для меня это было опасно: когда я пытался запустить локально в VS 2010 с этим кодом, моя стартовая страница никогда не загружалась; вместо этого я только что получил сообщение «Эта веб-страница недоступна». Чтобы исправить это, я добавил второе условие, чтобы проверить, содержит ли URL строку «localhost»: если нет, то принудительно введите https.
mg1075

3
Это дает мне цикл перенаправления. До того, как я добавил код, он работал нормально. Какие-либо предложения?
Джо

9
Обратите внимание, что это не обеспечивает никакой полезной безопасности. На самом деле, он будет защищать соединения только от тех пользователей, которые уже в безопасности, и не сможет защитить тех, на кого нападают (это потому, что MITM может просто полностью пропустить перенаправление и перенаправить все на ваш «безопасный» сайт). ИМХО, перенаправление пользовательских агентов - это просто хорошее настроение безопасности вуду и иногда создает опасную иллюзию безопасности. Единственный способ - поручить агентам пользователя запрашивать только защищенные ресурсы, а не перенаправлять их, если они этого не делают. Это то, что делает HSTS - см. Ответы ниже.
TNE

2
Этот ответ следует считать «вредным» и не должен использоваться. Согласно комментарию @tne выше.
Росди Касим

2
@RosdiKasim Должен ли этот ответ считаться вредным с момента редактирования 4 декабря 15 года?
Эндрю Мортон

123

Другая вещь, которую вы можете сделать, это использовать HSTS , возвращая заголовок «Strict-Transport-Security» в браузер. Браузер должен поддерживать это (и в настоящее время это в первую очередь Chrome и Firefox), но это означает, что после установки браузер не будет отправлять запросы на сайт по HTTP и вместо этого будет переводить их в запросы HTTPS перед их выдачей. , Попробуйте это в сочетании с перенаправлением из HTTP:

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  switch (Request.Url.Scheme)
  {
    case "https":
      Response.AddHeader("Strict-Transport-Security", "max-age=300");
      break;
    case "http":
      var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
      Response.Status = "301 Moved Permanently";
      Response.AddHeader("Location", path);
      break;
  }
}

Браузеры, которые не знают HSTS, будут просто игнорировать заголовок, но все равно будут захвачены оператором switch и отправлены в HTTPS.


6
Никогда раньше не слышал о заголовке HSTS, но выглядит довольно круто. Есть ли какая-либо причина для использования такого маленького значения максимального возраста (5 минут)? Статья в Википедии, на которую вы ссылаетесь, предлагает установить ее на большое значение (6-12 месяцев).
Дана

5
+1. Ознакомьтесь с этой очень обширной статьей в блоге Троя, в которой подробно рассказывается, почему только использование перенаправлений может снизить безопасность. Подсказка: он может сделать вас уязвимым для инструмента SSL Strip, между прочим. troyhunt.com/2011/11/…
Оран Деннисон

3
Также стоит проверить NWebsec , что делает это (и многое другое) очень простым.
Тисон Т.

16
Вы захотите включить переключатель, if(!Request.IsLocal)чтобы он не нарушал отладку.
Джастин Дж. Старк

1
Хороший ответ. Одна тонкость - для заголовков Http («Strict-Transport-Security») лучше использовать библиотеку, такую ​​как NWebSec, потому что есть несколько опций, которые сосредоточены в одном месте конфигурации, а не разбросаны тут и там.
Огнян Димитров

89

Модуль IIS7 позволит вам перенаправить.

    <rewrite>
        <rules>
            <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                <match url="(.*)"/>
                <conditions>
                    <add input="{HTTPS}" pattern="^OFF$"/>
                </conditions>
                <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
            </rule>
        </rules>
    </rewrite>

12
Кроме того, для IIS 7.0 вам необходимо установить Url Rewrite Module 2.0
Chris

Я нашел эту ссылку простой и полезной при создании любой конкретной страницы для приема только запросов https - support.microsoft.com/kb/239875
Manik Arora

21

Для тех, кто использует ASP.NET MVC. Вы можете использовать следующее для принудительной установки SSL / TLS через HTTPS на весь сайт двумя способами:

Трудный путь

1 - Добавьте атрибут RequireHttpsAttribute к глобальным фильтрам:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

2 - Принудительно использовать токены Anti-Forgery для использования SSL / TLS:

AntiForgeryConfig.RequireSsl = true;

3 - Требовать, чтобы Cookies требовали HTTPS по умолчанию, изменив файл Web.config:

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

4 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить Strict Transport Security для всего сайта. Не забудьте добавить директиву Preload ниже и отправить свой сайт на сайт HSTS Preload . Больше информации здесь и здесь . Обратите внимание, что если вы не используете OWIN, существует метод Web.config, о котором вы можете прочитать на сайте NWebSec .

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());

5 - Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить закрепление с открытым ключом (HPKP) на сайте. Больше информации здесь и здесь .

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
    .Sha256Pins(
        "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
        "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
    .MaxAge(days: 30));

6 - Включите схему https в любой используемый URL. HTTP-заголовок Content Security Policy (CSP) и Subresource Integrity (SRI) не работают хорошо, когда вы имитируете схему в некоторых браузерах. Лучше быть явно о HTTPS. например

<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>

Легкий путь

Используйте шаблон проекта ASP.NET MVC Boilerplate Visual Studio для создания проекта со всем этим и многим другим встроенным. Вы также можете просмотреть код на GitHub .


3
Также при использовании <authentication mode="Forms">внутри вы должны иметь<forms requireSSL="true">
Плутон

1
@ muhammad-rehan-saeed Я использую шаблон mvc5, но сайт не перенаправляет http на https автоматически на производственном сервере, а только на localhost. Что-то мне не хватает?
Дийн

Это не тот форум, чтобы задавать этот вопрос. Опубликовать вопрос на сайте GitHub. RequireHttpsAttributeДелает редирект. Пока у вас есть, это должно быть хорошо.
Мухаммед Рехан Саид

@MuhammadRehanSaeed, любите свой ответ. Но ... как мне получить хэш SHA256 сертификата, созданного с помощью MakeCert? Все, что у меня есть, это отпечаток SHA-1 ... Вы случайно не знаете?
Диана

1
@ Диана, эта ссылка может показать вам, как.
Мухаммед Рехан Саид

13

Если по какой-либо причине вы не можете настроить это в IIS, я бы сделал HTTP-модуль, который будет перенаправлять вас:

using System;
using System.Web;

namespace HttpsOnly
{
    /// <summary>
    /// Redirects the Request to HTTPS if it comes in on an insecure channel.
    /// </summary>
    public class HttpsOnlyModule : IHttpModule
    {
        public void Init(HttpApplication app)
        {
            // Note we cannot trust IsSecureConnection when 
            // in a webfarm, because usually only the load balancer 
            // will come in on a secure port the request will be then 
            // internally redirected to local machine on a specified port.

            // Move this to a config file, if your behind a farm, 
            // set this to the local port used internally.
            int specialPort = 443;

            if (!app.Context.Request.IsSecureConnection 
               || app.Context.Request.Url.Port != specialPort)
            {
               app.Context.Response.Redirect("https://" 
                  + app.Context.Request.ServerVariables["HTTP_HOST"] 
                  + app.Context.Request.RawUrl);    
            }
        }

        public void Dispose()
        {
            // Needed for IHttpModule
        }
    }
}

Затем просто скомпилируйте его в DLL, добавьте в качестве ссылки на ваш проект и поместите в web.config:

 <httpModules>
      <add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
 </httpModules>

Это кажется более сложным, чем просто вставлять его в global.asax - просто любопытно, есть ли преимущество?
Брайан Маккей

1
Преимущество в том, что когда вы не хотите его использовать, просто закомментируйте модуль в своем файле web.config. Это решение является настраиваемым, в то время как другой нет.
Боб Йексли

2
Я немного смущен. Я ожидал что-то подобное app.BeginRequest += new OnBeginRequest;в Initметоде и в том, OnBeginRequestчто содержит текущий Initметод. Вы уверены, что этот модуль работает как положено?
Якуб Штурц

Это не работает. Вам нужно добавить событие OnBeginRequest и т. Д., Тогда оно заработает.
SnAzBaZ

Я бы отредактировал этот неисправный код, но для обеспечения его безопасности вам также необходимо использовать HSTS. Просто ответьте на вопрос Троя Ханта и сделайте его модулем; см. support.microsoft.com/en-us/kb/307996 (старое, но вкусное).
Марк Л.

4

Что вам нужно сделать, это:

1) Добавьте ключ внутри web.config, в зависимости от производственного или промежуточного сервера, как показано ниже

<add key="HttpsServer" value="stage"/>
             or
<add key="HttpsServer" value="prod"/>

2) Внутри вашего файла Global.asax добавьте ниже метод.

void Application_BeginRequest(Object sender, EventArgs e)
{
    //if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
    if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
    {
        if (!HttpContext.Current.Request.IsSecureConnection)
        {
            if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
            }
            else
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
            }
        }
    }
}

3

Если поддержка SSL не настраивается на вашем сайте (т. Е. Должна быть возможность включать / выключать https) - вы можете использовать атрибут [RequireHttps] для любого действия контроллера / контроллера, которое вы хотите защитить.


2

Это также зависит от марки вашего балансировщика, для веб-мультиплексора вам потребуется поискать заголовок http, X-WebMux-SSL-termination: trueчтобы понять, что входящий трафик был ssl. Подробности здесь: http://www.cainetworks.com/support/redirect2ssl.html


2

Для @Joe выше: «Это дает мне цикл перенаправления. До того, как я добавил код, он работал нормально. Есть предложения? - Джо 8 ноября '11 в 4:13»

Это происходило и со мной, и я думаю, что происходило то, что балансировщик нагрузки завершал запрос SSL перед веб-сервером. Итак, мой веб-сайт всегда думал, что запрос был «http», даже если оригинальный браузер запрашивал, чтобы он был «https».

Я признаю, что это немного глупо, но для меня сработало создание свойства JustRedirected, которое я мог использовать, чтобы выяснить, что человек уже был перенаправлен один раз. Итак, я проверяю определенные условия, которые требуют перенаправления, и, если они выполняются, я устанавливаю это свойство (значение, сохраненное в сеансе) до перенаправления. Даже если условия http / https для перенаправления выполняются во второй раз, я обхожу логику перенаправления и сбрасываю значение сеанса JustRedirected на false. Вам понадобится ваша собственная логика условного тестирования, но вот простая реализация свойства:

    public bool JustRedirected
    {
        get
        {
            if (Session[RosadaConst.JUSTREDIRECTED] == null)
                return false;

            return (bool)Session[RosadaConst.JUSTREDIRECTED];
        }
        set
        {
            Session[RosadaConst.JUSTREDIRECTED] = value;
        }
    }

2

Я добавлю два цента. Если у вас есть доступ к IIS-серверу, вы можете принудительно установить HTTPS с помощью привязок протокола. Например, у вас есть сайт под названием Blah . В IIS вы можете настроить два сайта: Blah и Blah (Redirect) . Для Blah настройте только HTTPSпривязку (и, FTPесли вам нужно, убедитесь, что она также принудительно установлена ​​через безопасное соединение). Для Blah (Redirect) только настройте HTTPпривязку. Наконец, в разделе HTTP Redirect для Blah (Redirect) убедитесь, что установлен редирект 301 https://blah.com, с точным назначением включен. Убедитесь, что каждый сайт в IIS указывает на егособственная корневая папка, иначе Web.config все испортит. Также убедитесь, чтоHSTS настроенный на вашем HTTPS-сайте, чтобы последующие запросы браузера всегда были принудительно настроены на HTTPS, и перенаправления не происходили.


2

Это более полный ответ, основанный на @Troy Hunt's. Добавьте эту функцию в ваш WebApplicationкласс в Global.asax.cs:

    protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        // Allow https pages in debugging
        if (Request.IsLocal)
        {
            if (Request.Url.Scheme == "http")
            {
                int localSslPort = 44362; // Your local IIS port for HTTPS

                var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;

                Response.Status = "301 Moved Permanently";
                Response.AddHeader("Location", path);
            }
        }
        else
        {
            switch (Request.Url.Scheme)
            {
                case "https":
                    Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
                    break;
                case "http":
                    var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
                    Response.Status = "301 Moved Permanently";
                    Response.AddHeader("Location", path);
                    break;
            }
        }
    }

(Чтобы включить SSL в локальной сборке, включите его в доке свойств проекта)


1

-> Просто ДОБАВЬТЕ [RequireHttps] поверх открытого класса HomeController: Controller.

-> И добавить GlobalFilters.Filters.Add (new RequireHttpsAttribute ()); в методе protected void Application_Start () в файле Global.asax.cs.

Что заставляет все ваше приложение к HTTPS.


Я не верю, что это будет работать для любых страниц, обслуживаемых с использованием WebForms или любых API, созданных с помощью WebAPI. Он будет охватывать только контроллеры MVC.
Марк Л.

1

Я потратил некоторое время на поиски лучших практик, которые имеют смысл, и нашел следующее, которое сработало для меня. Я надеюсь, что это спасет вас когда-нибудь.

Использование файла конфигурации (например, веб-сайт asp.net) https://blogs.msdn.microsoft.com/kaushal/2013/05/22/http-to-https-redirects-on-iis-7-x-and- выше /

или на вашем собственном сервере https://www.sslshopper.com/iis7-redirect-http-to-https.html

[КОРОТКИЙ ОТВЕТ] Просто код ниже идет внутрь

<system.webServer> 
 <rewrite>
     <rules>
       <rule name="HTTP/S to HTTPS Redirect" enabled="true" 
           stopProcessing="true">
       <match url="(.*)" />
        <conditions logicalGrouping="MatchAny">
        <add input="{SERVER_PORT_SECURE}" pattern="^0$" />
       </conditions>
       <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" 
        redirectType="Permanent" />
        </rule>
       </rules>
 </rewrite>

1

В IIS10 (Windows 10 и Server 2016), начиная с версии 1709, появилась новая, более простая опция для включения HSTS для веб-сайта.

Microsoft опишет преимущества нового подхода здесь и предоставляет множество различных примеров того, как реализовать изменение программно или путем непосредственного редактирования файла ApplicationHost.config (который похож на web.config, но работает на уровне IIS, а не на уровне отдельного сайта). ). ApplicationHost.config можно найти в C: \ Windows \ System32 \ inetsrv \ config.

Я изложил два примера методов здесь, чтобы избежать гниения ссылок.

Способ 1. Редактируйте файл ApplicationHost.config напрямую. Между <site>тегами добавьте эту строку:

<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />

Способ 2 - Командная строка: Выполните следующее из командной строки с повышенными правами (т.е. щелкните правой кнопкой мыши на CMD и запустите от имени администратора). Не забудьте поменять Contoso на имя вашего сайта, как оно отображается в IIS Manager.

c:
cd C:\WINDOWS\system32\inetsrv\
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost

Другие методы, которые Microsoft предлагает в этих статьях, могут оказаться более подходящими, если вы находитесь в размещенной среде, где у вас ограниченный доступ.

Имейте в виду, что версия IIS10 1709 доступна для Windows 10 сейчас, но для Windows Server 2016 она находится на другой дорожке выпуска и не будет выпущена как исправление или пакет обновления. Смотрите здесь для деталей о 1709.


0

Если вы используете ASP.NET Core, вы можете попробовать пакет nuget SaidOut.AspNetCore.HttpsWithStrictTransportSecurity.

Тогда вам нужно только добавить

app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);

Это также добавит заголовок HTTP StrictTransportSecurity ко всем запросам, сделанным по схеме https.

Пример кода и документация https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.