Как заставить HTTPS использовать файл web.config

Я искал вокруг Google и StackOverflow, пытаясь найти решение этой проблемы, но все они, похоже, относятся к ASP.NET и т. Д.

Я обычно запускаю Linux на своих серверах, но для этого одного клиента я использую Windows с IIS 7.5 (и Plesk 10). Именно поэтому я немного незнаком с файлами IIS и web.config . В .htaccessфайле вы можете использовать условия перезаписи, чтобы определить, является ли протокол HTTPS, и соответственно перенаправить. Есть ли простой способ добиться этого с помощью файла web.config или даже с помощью установленного мной модуля ' URL Rewrite '?

У меня нет опыта работы с ASP.NET, поэтому, если это связано с решением, пожалуйста, включите четкие шаги по реализации.

Причина, по которой я делаю это с web.config, а не с PHP, заключается в том, что я хотел бы использовать HTTPS для всех ресурсов сайта.

Вам нужен модуль перезаписи URL, предпочтительно v2 (у меня не установлен v1, поэтому я не могу гарантировать, что он будет работать там, но должен).

Вот пример такого web.config - он заставит HTTPS для ВСЕХ ресурсов (используя 301 Permanent Redirect):

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <clear />
                <rule name="Redirect to https" stopProcessing="true">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" appendQueryString="false" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

PS Это конкретное решение не имеет ничего общего с ASP.NET/PHP или любой другой технологией, поскольку оно выполняется только с использованием модуля перезаписи URL - оно обрабатывается на одном из начальных / более низких уровней - до того, как запрос достигнет точки, где ваш код исполняется.

Для тех, кто использует ASP.NET MVC. Вы можете использовать RequireHttpsAttribute, чтобы все ответы были HTTPS:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

Другие вещи, которые вы также можете сделать, чтобы защитить свой сайт:

1. Принудительно использовать токены Anti-Forgery для использования SSL / TLS:

   AntiForgeryConfig.RequireSsl = true;

2. Требовать, чтобы Cookies требовали HTTPS по умолчанию, изменив файл Web.config:

   <system.web>
       <httpCookies httpOnlyCookies="true" requireSSL="true" />
   </system.web>
   

3. Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода для включения строгой транспортной безопасности (HSTS) на сайте. Не забудьте добавить директиву Preload ниже и отправить свой сайт на сайт HSTS Preload . Больше информации здесь и здесь . Обратите внимание, что если вы не используете OWIN, существует метод Web.config, о котором вы можете прочитать на сайте NWebSec .

   // app is your OWIN IAppBuilder app in Startup.cs
   app.UseHsts(options => options.MaxAge(days: 720).Preload());
   

4. Используйте пакет NWebSec.Owin NuGet и добавьте следующую строку кода, чтобы включить закрепление с открытым ключом (HPKP) на сайте. Больше информации здесь и здесь .

   // app is your OWIN IAppBuilder app in Startup.cs
   app.UseHpkp(options => options
       .Sha256Pins(
           "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
           "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
       .MaxAge(days: 30));
   

5. Включите схему https в любой используемый URL. HTTP-заголовок Content Security Policy (CSP) и Subresource Integrity (SRI) не очень удобны, когда вы имитируете схему в некоторых браузерах. Лучше быть явно о HTTPS. например

   <script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js">
   </script>
   

6. Используйте шаблон проекта ASP.NET MVC Boilerplate Visual Studio для создания проекта со всем этим и многим другим встроенным. Вы также можете просмотреть код на GitHub .

Чтобы дополнить ответ LazyOne, вот аннотированная версия ответа.

<rewrite>
  <rules>
     <clear />
     <rule name="Redirect all requests to https" stopProcessing="true">
       <match url="(.*)" />
         <conditions logicalGrouping="MatchAll">
           <add input="{HTTPS}" pattern="off" ignoreCase="true" />
         </conditions>
         <action 
            type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" 
            redirectType="Permanent" appendQueryString="false" />
     </rule>
  </rules>
</rewrite>

Очистите все остальные правила, которые могут быть уже определены на этом сервере. Создайте новое правило, которое мы назовем «Перенаправить все запросы на https». После обработки этого правила не обрабатывайте больше правил! Сопоставьте все входящие URL. Затем проверьте, выполняются ли все эти другие условия: HTTPS выключен. Ну, это только одно условие (но убедитесь, что это правда). Если это так, отправьте перманентное перенаправление 301 обратно клиенту по адресу http://www.foobar.com/whatever?else=the#url-contains. Не добавляйте строку запроса в конце этого, потому что это дублирует строку запроса!

Это то, что означают свойства, атрибуты и некоторые значения.

• clear удаляет все серверные правила, которые мы могли бы наследовать.
• Правило определяет правило.
  • Назовите произвольное (хотя и уникальное) имя для правила.
  • stopProcessing, следует ли направить запрос немедленно в конвейер запросов IIS или сначала обработать дополнительные правила.
• соответствует, когда запустить это правило.
  • URL шаблон, по которому можно оценить URL
• условия дополнительных условий о том, когда выполнять это правило; условия обрабатываются только при первом совпадении.
  • логическая группировка - все ли условия должны быть истинными ( MatchAll) или любое из условий должно быть истинным ( MatchAny); похож на И против ИЛИ.
• add добавляет условие, которое должно быть выполнено.
  • введите входные данные, которые оценивает условие; входные данные могут быть переменными сервера.
  • шаблон стандарта, по которому оценивать ввод.
  • ignoreCase имеет значение капитализация или нет.
• действие, что делать, если matchи conditionsвсе это правда.
  • Тип обычно может быть redirect(на стороне клиента) или rewrite(на стороне сервера).
  • URL, что производить в результате этого правила; в этом случае объедините https://с двумя переменными сервера.
  • redirectType какой HTTP редирект использовать; это постоянный 301
  • appendQueryString , добавлять ли строку запроса в конце результирующего urlили нет; в этом случае мы устанавливаем значение false, потому что оно {REQUEST_URI}уже включено.

Переменные сервера

• {HTTPS}который либо OFFили ON.
• {HTTP_HOST}есть www.mysite.comи
• {REQUEST_URI} включает в себя остальную часть URI, например /home?key=value
  • браузер обрабатывает #fragment(см. комментарий от LazyOne).

Смотрите также: https://www.iis.net/learn/extensions/url-rewrite-module/url-rewrite-module-configuration-reference

Принятый ответ не работал для меня. Я следовал за шагами в этом блоге .

Ключевым моментом, который мне не хватало, было то, что мне нужно было загрузить и установить инструмент перезаписи URL для IIS. Я нашел это здесь . Результат был следующий.

<rewrite>
        <rules>
            <remove name="Http to Https" />
            <rule name="Http to Https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
                <match url="*" />
                <conditions>
                    <add input="{HTTPS}" pattern="off" />
                </conditions>
                <serverVariables />
                <action type="Redirect" url="https://{HTTPS_HOST}{REQUEST_URI}" />
            </rule>
        </rules>
    </rewrite>

В .Net Core следуйте инструкциям по адресу https://docs.microsoft.com/en-us/aspnet/core/security/enforcing-ssl.

В вашем файле startup.cs добавьте следующее:

// Requires using Microsoft.AspNetCore.Mvc;
public void ConfigureServices(IServiceCollection services)
{
    services.Configure<MvcOptions>(options =>
    {
        options.Filters.Add(new RequireHttpsAttribute());
    });`enter code here`

Чтобы перенаправить Http в Https, добавьте следующее в startup.cs

// Requires using Microsoft.AspNetCore.Rewrite;
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    loggerFactory.AddConsole(Configuration.GetSection("Logging"));
    loggerFactory.AddDebug();

    var options = new RewriteOptions()
       .AddRedirectToHttps();

    app.UseRewriter(options);

Отличная библиотека NWebsec может обновить ваши запросы с HTTP на HTTPS, используя свой upgrade-insecure-requestsтег в Web.config:

<nwebsec>
  <httpHeaderSecurityModule>
    <securityHttpHeaders>
      <content-Security-Policy enabled="true">
        <upgrade-insecure-requests enabled="true"  />
      </content-Security-Policy>
    </securityHttpHeaders>
  </httpHeaderSecurityModule>
</nwebsec>

Мне не разрешили установить URL Rewrite в моей среде, поэтому я нашел другой путь.

Добавление этого к моему web.config добавило переписывание ошибок и работало на IIS 7.5:

<system.webServer>
    <httpErrors errorMode="Custom" defaultResponseMode="File" defaultPath="C:\WebSites\yoursite\" >    
    <remove statusCode="403" subStatusCode="4" />
    <error statusCode="403" subStatusCode="4" responseMode="File" path="redirectToHttps.html" />
</httpErrors>

Затем, следуя совету здесь: https://www.sslshopper.com/iis7-redirect-http-to-https.html

Я создал HTML-файл, который выполняет перенаправление (redirectToHttps.html):

<html>
<head><title>Redirecting...</title></head>
<script language="JavaScript">
function redirectHttpToHttps()
{
    var httpURL= window.location.hostname + window.location.pathname + window.location.search;
    var httpsURL= "https://" + httpURL;
    window.location = httpsURL;
}
redirectHttpToHttps();
</script>
<body>
</body>
</html>

Я надеюсь, что кто-то найдет это полезным, так как я не смог найти все части в одном месте в другом месте.

Простой способ это сказать IIS , чтобы отправить пользовательский файл ошибок для HTTP запросов. Затем файл может содержать мета-перенаправление, JavaScript-перенаправление и инструкции со ссылкой и т. Д. Важно отметить, что вы все равно можете отметить «Требовать SSL» для сайта (или папки), и это будет работать.

</configuration>
</system.webServer>
    <httpErrors>
        <clear/>
        <!--redirect if connected without SSL-->
        <error statusCode="403" subStatusCode="4" path="errors\403.4_requiressl.html" responseMode="File"/>
    </httpErrors>
</system.webServer>
</configuration>