एक पूरी साइट के लिए https मजबूर करने के लिए asp.net में सबसे अच्छा तरीका है?

लगभग 6 महीने पहले मैंने एक ऐसी साइट निकाली, जहाँ हर अनुरोध पर https होना चाहिए। उस समय मुझे यह सुनिश्चित करने के लिए एक ही रास्ता मिल गया था कि पृष्ठ पर हर अनुरोध https खत्म हो गया था, उसे पृष्ठ लोड घटना में जांचना था। यदि अनुरोध http से अधिक नहीं था, तो मैं प्रतिसाद दे दूंगा। अप्रत्यक्ष (" https://example.com ")

वहाँ एक बेहतर तरीका है - आदर्श web.config में कुछ सेटिंग?

कृपया HSTS (HTTP सख्त परिवहन सुरक्षा) का उपयोग करें

से http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

मूल उत्तर (4 दिसंबर 2015 को उपरोक्त के साथ प्रतिस्थापित)

मूल रूप से

protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}

यह Global.asax.cs (या global.asax.vb) में जाएगा

मैं web.config में इसे निर्दिष्ट करने का एक तरीका नहीं जानता

दूसरी चीज जो आप कर सकते हैं वह है ब्राउज़र के "स्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी" हेडर को वापस करके एचएसटीएस का उपयोग करना । ब्राउज़र को इसका समर्थन करना होगा (और वर्तमान में, यह मुख्य रूप से क्रोम और फ़ायरफ़ॉक्स है जो करते हैं), लेकिन इसका मतलब है कि एक बार सेट होने पर, ब्राउज़र HTTP पर साइट पर अनुरोध नहीं करेगा और इसके बजाय उन्हें जारी करने से पहले HTTPS अनुरोधों का अनुवाद करेगा। । HTTP से रीडायरेक्ट के साथ संयोजन में इसे आज़माएँ:

protected void Application_BeginRequest(Object sender, EventArgs e)
{
  switch (Request.Url.Scheme)
  {
    case "https":
      Response.AddHeader("Strict-Transport-Security", "max-age=300");
      break;
    case "http":
      var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
      Response.Status = "301 Moved Permanently";
      Response.AddHeader("Location", path);
      break;
  }
}

जिन ब्राउज़रों को HSTS की जानकारी नहीं है वे सिर्फ हेडर को अनदेखा करेंगे लेकिन फिर भी स्विच स्टेटमेंट द्वारा पकड़े जाएंगे और HTTPS को भेजे जाएंगे।

IIS7 मॉड्यूल आपको पुनर्निर्देशित करेगा।

    <rewrite>
        <rules>
            <rule name="Redirect HTTP to HTTPS" stopProcessing="true">
                <match url="(.*)"/>
                <conditions>
                    <add input="{HTTPS}" pattern="^OFF$"/>
                </conditions>
                <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther"/>
            </rule>
        </rules>
    </rewrite>

ASP.NET MVC का उपयोग करने वालों के लिए। आप निम्न तरीकों से पूरी साइट पर HTTPS पर SSL / TLS को लागू करने के लिए निम्नलिखित का उपयोग कर सकते हैं:

मुश्किल रास्ता

1 - वैश्विक फ़िल्टर्स में आवश्यकताएँ जोड़ें के साथ योगदान करें:

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

2 - एसएसएल / टीएलएस का उपयोग करने के लिए फोर्स एंटी-फोर्जरी टोकन:

AntiForgeryConfig.RequireSsl = true;

3 - Web.config फ़ाइल को बदलकर डिफ़ॉल्ट रूप से HTTPS के लिए कुकीज़ की आवश्यकता होती है:

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" />
</system.web>

4 - NWebSec.Owin NuGet पैकेज का उपयोग करें और साइट के पार सख्त परिवहन सुरक्षा को सक्षम करने के लिए कोड की निम्नलिखित पंक्ति जोड़ें। नीचे दिए गए प्रीलोड निर्देश को जोड़ना न भूलें और अपनी साइट को एचएसटीएस प्रीलोड साइट पर जमा करें । अधिक जानकारी यहाँ और यहाँ । ध्यान दें कि यदि आप OWIN का उपयोग नहीं कर रहे हैं, तो एक Web.config विधि है जिसे आप NWebSec साइट पर पढ़ सकते हैं ।

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHsts(options => options.MaxAge(days: 30).Preload());

5 - NWebSec.Owin NuGet पैकेज का उपयोग करें और साइट पर सार्वजनिक कुंजी पिनिंग (HPKP) को सक्षम करने के लिए कोड की निम्नलिखित पंक्ति जोड़ें। अधिक जानकारी यहाँ और यहाँ ।

// app is your OWIN IAppBuilder app in Startup.cs
app.UseHpkp(options => options
    .Sha256Pins(
        "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
        "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
    .MaxAge(days: 30));

6 - किसी भी URL के इस्तेमाल में https स्कीम शामिल करें। जब आप कुछ ब्राउज़रों में स्कीम की नकल करते हैं तो कंटेंट सिक्योरिटी पॉलिसी (CSP) HTTP हेडर और सबसोर्स इंटीग्रिटी (SRI) अच्छा नहीं खेलता है। HTTPS के बारे में स्पष्ट होना बेहतर है। जैसे

<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js"></script>

आसान तरीका

इस सब के साथ एक परियोजना उत्पन्न करने के लिए ASP.NET MVC बॉयलरप्लेट विज़ुअल स्टूडियो प्रोजेक्ट टेम्पलेट का उपयोग करें और बहुत अधिक बिल्ट इन। आप GitHub पर कोड भी देख सकते हैं ।

यदि आप इसे किसी कारण से IIS में सेट करने में असमर्थ हैं, तो मैं एक HTTP मॉड्यूल बनाऊंगा जो आपके लिए रीडायरेक्ट करता है:

using System;
using System.Web;

namespace HttpsOnly
{
    /// <summary>
    /// Redirects the Request to HTTPS if it comes in on an insecure channel.
    /// </summary>
    public class HttpsOnlyModule : IHttpModule
    {
        public void Init(HttpApplication app)
        {
            // Note we cannot trust IsSecureConnection when 
            // in a webfarm, because usually only the load balancer 
            // will come in on a secure port the request will be then 
            // internally redirected to local machine on a specified port.

            // Move this to a config file, if your behind a farm, 
            // set this to the local port used internally.
            int specialPort = 443;

            if (!app.Context.Request.IsSecureConnection 
               || app.Context.Request.Url.Port != specialPort)
            {
               app.Context.Response.Redirect("https://" 
                  + app.Context.Request.ServerVariables["HTTP_HOST"] 
                  + app.Context.Request.RawUrl);    
            }
        }

        public void Dispose()
        {
            // Needed for IHttpModule
        }
    }
}

फिर इसे एक DLL में संकलित करें, इसे अपनी परियोजना के संदर्भ के रूप में जोड़ें और इसे web.config में रखें:

 <httpModules>
      <add name="HttpsOnlyModule" type="HttpsOnly.HttpsOnlyModule, HttpsOnly" />
 </httpModules>

आपको क्या करने की आवश्यकता है:

1) नीचे की तरह उत्पादन या मंच सर्वर के आधार पर web.config के अंदर एक कुंजी जोड़ें

<add key="HttpsServer" value="stage"/>
             or
<add key="HttpsServer" value="prod"/>

2) अपने Global.asax फ़ाइल के अंदर विधि नीचे जोड़ें।

void Application_BeginRequest(Object sender, EventArgs e)
{
    //if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "prod")
    if (ConfigurationManager.AppSettings["HttpsServer"].ToString() == "stage")
    {
        if (!HttpContext.Current.Request.IsSecureConnection)
        {
            if (!Request.Url.GetLeftPart(UriPartial.Authority).Contains("www"))
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://www."), true);
            }
            else
            {
                HttpContext.Current.Response.Redirect(
                    Request.Url.GetLeftPart(UriPartial.Authority).Replace("http://", "https://"), true);
            }
        }
    }
}

यदि आपकी साइट में SSL समर्थन कॉन्फ़िगर करने योग्य नहीं है (यानी, https को चालू / बंद करने में सक्षम होना चाहिए) - आप जिस भी नियंत्रक / नियंत्रक कार्रवाई को सुरक्षित करना चाहते हैं, उस पर [आवश्यकताएँ] विशेषता का उपयोग कर सकते हैं।

यह आपके बैलेंसर के ब्रांड पर भी निर्भर करता है, वेब मक्स के लिए, आपको यह जानने के लिए http हैडर की तलाश करनी होगी X-WebMux-SSL-termination: trueकि आने वाला ट्रैफिक एसएसएल था। यहाँ विवरण: http://www.cainetworks.com/support/redirect2ssl.html

ऊपर @Joe के लिए, "यह मुझे एक अनुप्रेषित लूप दे रहा है। इससे पहले कि मैंने कोड जोड़ा यह ठीक काम करता है। कोई सुझाव? - 4:13 बजे जो 8 नवंबर '11

यह मेरे साथ भी हो रहा था और मेरा मानना ​​है कि ऐसा हो रहा था कि वेब सर्वर के सामने एसएसएल अनुरोध को लोड करने वाला एक बैलेंसर था। इसलिए, मेरी वेब साइट हमेशा "http" अनुरोध को सोच रही थी, भले ही मूल ब्राउज़र ने "https" होने का अनुरोध किया हो।

मैं मानता हूं कि यह थोड़ा हैकैपी है, लेकिन मेरे लिए जो काम किया गया था वह "जस्टरेडायरेक्टेड" प्रॉपर्टी को लागू करने के लिए था जिसे मैं समझ सकता था कि व्यक्ति पहले से ही एक बार रीडायरेक्ट हो गया था। इसलिए, मैं उन विशिष्ट स्थितियों के लिए परीक्षण करता हूं जो पुनर्निर्देशित को वारंट करती हैं और, यदि वे मिलते हैं, तो मैं इस संपत्ति (सत्र में संग्रहीत मूल्य) को पुनर्निर्देशन से पहले सेट करता हूं। भले ही पुनर्निर्देशन के लिए http / https स्थितियां दूसरी बार मिलें, मैं पुनर्निर्देशन तर्क को दरकिनार कर देता हूं और "JustRedirected" सत्र मान को गलत पर रीसेट करता हूं। आपको अपने सशर्त परीक्षण तर्क की आवश्यकता होगी, लेकिन यहां संपत्ति का एक सरल कार्यान्वयन है:

    public bool JustRedirected
    {
        get
        {
            if (Session[RosadaConst.JUSTREDIRECTED] == null)
                return false;

            return (bool)Session[RosadaConst.JUSTREDIRECTED];
        }
        set
        {
            Session[RosadaConst.JUSTREDIRECTED] = value;
        }
    }

मैं अपने दो सेंट फेंकने जा रहा हूं। यदि आपके पास IIS सर्वर की पहुंच है, तो आप प्रोटोकॉल बाइंडिंग के उपयोग से HTTPS को बाध्य कर सकते हैं। उदाहरण के लिए, आपके पास Blah नाम की एक वेबसाइट है । IIS में आप दो साइट सेटअप करेंगे: ब्ला , और ब्लाह (रीडायरेक्ट) । के लिए ब्ला केवल कॉन्फ़िगर HTTPSबंधन (और FTPआप अच्छी तरह से किसी सुरक्षित कनेक्शन पर यह मजबूर करने के लिए, यह सुनिश्चित कर लें की जरूरत है)। के लिए ब्ला (पुनर्निर्देशन) केवल कॉन्फ़िगर HTTPबंधन। अंत में, ब्लाह (पुनर्निर्देशन) के लिए HTTP रीडायरेक्ट सेक्शन में 301 रीडायरेक्ट को पर सेट करना सुनिश्चित करेंhttps://blah.com सटीक गंतव्य के साथ । सुनिश्चित करें कि IIS की प्रत्येक साइट इसकी ओर इशारा कर रही हैस्वयं रूट फ़ोल्डर अन्यथा Web.configसभी खराब हो जाएगा। यह भी सुनिश्चित करें कि HSTSआपके HTTPSed साइट पर कॉन्फ़िगर किया गया है ताकि ब्राउज़र द्वारा बाद के अनुरोध हमेशा HTTPS के लिए मजबूर हो और कोई पुनर्निर्देशन न हो।

यह एक पूर्ण उत्तर है जो @ ट्रॉय हंट्स पर आधारित है। इस फ़ंक्शन को अपनी WebApplicationकक्षा में जोड़ें Global.asax.cs:

    protected void Application_BeginRequest(Object sender, EventArgs e)
    {
        // Allow https pages in debugging
        if (Request.IsLocal)
        {
            if (Request.Url.Scheme == "http")
            {
                int localSslPort = 44362; // Your local IIS port for HTTPS

                var path = "https://" + Request.Url.Host + ":" + localSslPort + Request.Url.PathAndQuery;

                Response.Status = "301 Moved Permanently";
                Response.AddHeader("Location", path);
            }
        }
        else
        {
            switch (Request.Url.Scheme)
            {
                case "https":
                    Response.AddHeader("Strict-Transport-Security", "max-age=31536000");
                    break;
                case "http":
                    var path = "https://" + Request.Url.Host + Request.Url.PathAndQuery;
                    Response.Status = "301 Moved Permanently";
                    Response.AddHeader("Location", path);
                    break;
            }
        }
    }

(अपने स्थानीय बिल्ड पर एसएसएल को सक्षम करने के लिए प्रोजेक्ट के लिए गुण गोदी में सक्षम करें)

-> सार्वजनिक वर्ग के शीर्ष पर बस ADD [आवश्यकताएँ] गृह नियंत्रक: नियंत्रक।

-> और GlobalFilters.Filters.Add (नई आवश्यकताएं जोड़ें) को वितरित करें ()); Global.asax.cs फ़ाइल में 'संरक्षित शून्य Application_Start ()' विधि।

जो आपके संपूर्ण एप्लिकेशन को HTTPS के लिए मजबूर करता है।

मैंने कुछ समय सर्वश्रेष्ठ अभ्यास की तलाश में बिताया जो समझ में आता है और निम्नलिखित पाया जो मेरे लिए पूर्णता का काम करता है। मुझे उम्मीद है कि यह आपको कुछ समय बचाएगा।

का उपयोग करते हुए विन्यास फाइल (उदाहरण के लिए एक asp.net वेबसाइट) https://blogs.msdn.microsoft.com/kaushal/2013/05/22/http-to-https-redirects-on-iis-7-x-and- उच्च /

या अपने स्वयं के सर्वर https://www.sslshopper.com/iis7-redirect-http-to-https.html पर

[लघु उत्तर] बस नीचे दिए गए कोड के अंदर चला जाता है

<system.webServer> 
 <rewrite>
     <rules>
       <rule name="HTTP/S to HTTPS Redirect" enabled="true" 
           stopProcessing="true">
       <match url="(.*)" />
        <conditions logicalGrouping="MatchAny">
        <add input="{SERVER_PORT_SECURE}" pattern="^0$" />
       </conditions>
       <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" 
        redirectType="Permanent" />
        </rule>
       </rules>
 </rewrite>

IIS10 (विंडोज 10 और सर्वर 2016) में, संस्करण 1709 से, वेबसाइट के लिए HSTS को सक्षम करने के लिए एक नया, सरल विकल्प है।

Microsoft यहां नए दृष्टिकोण के फायदों का वर्णन करता है , और प्रोग्राम को व्यावहारिक रूप से लागू करने या सीधे सीधे ApplicationHost.config फ़ाइल (जो web.config की तरह है) को संपादित करने के कई अलग-अलग उदाहरण प्रदान करता है, लेकिन व्यक्तिगत स्तर के बजाय IIS स्तर पर संचालित होता है। )। ApplicationHost.config C: \ Windows \ System32 \ inetsrv \ config में पाया जा सकता है।

मैंने लिंक रोट से बचने के लिए यहां दो उदाहरण विधियों की रूपरेखा तैयार की है।

विधि 1 - सीधे ApplicationHost.config फ़ाइल संपादित करें <site>टैग के बीच , इस पंक्ति को जोड़ें:

<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />

विधि 2 - कमांड लाइन: एक उन्नत कमांड प्रॉम्प्ट (यानी सीएमडी पर दाएं माउस और व्यवस्थापक के रूप में चलाएं) से निम्नलिखित को निष्पादित करें। अपनी साइट के नाम के साथ कॉन्टोसो को स्वैप करना याद रखें जैसा कि यह IIS प्रबंधक में दिखाई देता है।

c:
cd C:\WINDOWS\system32\inetsrv\
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost

यदि आप एक सीमित वातावरण में हैं जहाँ आपके पास सीमित पहुँच है, तो Microsoft द्वारा उस लेख में दिए गए अन्य तरीके बेहतर विकल्प हो सकते हैं।

ध्यान रखें कि IIS10 संस्करण 1709 अब विंडोज 10 पर उपलब्ध है, लेकिन विंडोज सर्वर 2016 के लिए यह एक अलग रिलीज ट्रैक पर है, और इसे पैच या सर्विस पैक के रूप में जारी नहीं किया जाएगा। 1709 के विवरण के लिए यहां देखें ।

यदि आप ASP.NET Core का उपयोग कर रहे हैं, तो आप nuget पैकेज SaidOut.AspNetCore.HttpsWithStrictTransportSecurity को आज़मा सकते हैं।

फिर आपको केवल जोड़ना होगा

app.UseHttpsWithHsts(HttpsMode.AllowedRedirectForGet, configureRoutes: routeAction);

यह https स्कीम का उपयोग करके किए गए सभी अनुरोधों में HTTP StrictTransportSecurity हैडर भी जोड़ देगा।

उदाहरण कोड और प्रलेखन https://github.com/saidout/saidout-aspnetcore-httpswithstricttransportsecurity#example-code