किसी web.config फ़ाइल का उपयोग करके HTTPS को कैसे बाध्य करें

मैंने इसके समाधान का प्रयास करने के लिए Google और StackOverflow के आसपास खोज की है, लेकिन वे सभी ASP.NET आदि से संबंधित हैं।

मैं आमतौर पर अपने सर्वर पर लिनक्स चलाता हूं, लेकिन इस एक क्लाइंट के लिए मैं आईआईएस 7.5 (और प्लस्क 10) के साथ विंडोज का उपयोग कर रहा हूं। यही कारण है कि मैं IIS और web.config फ़ाइलों से थोड़ा अपरिचित हूं । एक .htaccessफ़ाइल में आप प्रोटोकॉल का पता लगाने के लिए पुन: लिखने की स्थिति का उपयोग कर सकते हैं कि प्रोटोकॉल HTTPS है या तदनुसार पुनर्निर्देशित। क्या वेब.कॉन्फ़िग फ़ाइल का उपयोग करके या यहां तक कि मेरे द्वारा स्थापित ' URL रीराइट ' मॉड्यूल का उपयोग करके इसे प्राप्त करने का एक सरल तरीका है ?

मुझे ASP.NET का कोई अनुभव नहीं है इसलिए यदि यह समाधान में शामिल है तो कृपया इसे लागू करने के स्पष्ट चरणों को शामिल करें।

मुझे web.config के साथ ऐसा करने के लिए कारण और नहीं पीएचपी कि मैं साइट के भीतर सभी परिसंपत्तियों पर HTTPS को बलपूर्वक लागू करना चाहते हैं।

आपको URL पुनर्लेखन मॉड्यूल की आवश्यकता है, अधिमानतः v2 (मेरे पास कोई v1 स्थापित नहीं है, इसलिए यह गारंटी नहीं दे सकता है कि यह वहां काम करेगा, लेकिन यह होना चाहिए)।

यहाँ ऐसे web.config का एक उदाहरण दिया गया है - यह HTTPS को सभी संसाधनों के लिए बाध्य करेगा (301 स्थायी पुनर्निर्देशन का उपयोग करके):

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <clear />
                <rule name="Redirect to https" stopProcessing="true">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" appendQueryString="false" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

PS इस विशेष समाधान का ASP.NET/PHP या किसी अन्य तकनीक से कोई लेना-देना नहीं है क्योंकि यह केवल URL पुनर्लेखन मॉड्यूल का उपयोग करके किया गया है - यह प्रारंभिक / निचले स्तरों में से एक पर संसाधित होता है - अनुरोध से पहले बिंदु पर पहुंच जाता है जहां आपका कोड होता है निष्पादित हो जाता है।

ASP.NET MVC का उपयोग करने वालों के लिए। आप HTTPS होने के लिए सभी प्रतिक्रियाओं को बाध्य करने के लिए EssentialHttpsAttribute का उपयोग कर सकते हैं :

GlobalFilters.Filters.Add(new RequireHttpsAttribute());

अन्य चीजें जो आप अपनी साइट को सुरक्षित करने में मदद करना चाहते हैं:

1. एसएसएल / टीएलएस का उपयोग करने के लिए फोर्स एंटी-फोर्जरी टोकन:

   AntiForgeryConfig.RequireSsl = true;

2. Web.config फ़ाइल को बदलकर डिफ़ॉल्ट रूप से HTTPS के लिए कुकीज़ की आवश्यकता होती है:

   <system.web>
       <httpCookies httpOnlyCookies="true" requireSSL="true" />
   </system.web>

3. NWebSec.Owin NuGet पैकेज का उपयोग करें और साइट पर सख्त परिवहन सुरक्षा (HSTS) को सक्षम करने के लिए कोड की निम्नलिखित पंक्ति जोड़ें। नीचे दिए गए प्रीलोड निर्देश को जोड़ना न भूलें और अपनी साइट को एचएसटीएस प्रीलोड साइट पर जमा करें । अधिक जानकारी यहाँ और यहाँ । ध्यान दें कि यदि आप OWIN का उपयोग नहीं कर रहे हैं, तो एक Web.config विधि है जिसे आप NWebSec साइट पर पढ़ सकते हैं ।

   // app is your OWIN IAppBuilder app in Startup.cs
   app.UseHsts(options => options.MaxAge(days: 720).Preload());

4. NWebSec.Owin NuGet पैकेज का उपयोग करें और साइट पर सार्वजनिक कुंजी पिनिंग (HPKP) को सक्षम करने के लिए कोड की निम्न पंक्ति जोड़ें। अधिक जानकारी यहाँ और यहाँ ।

   // app is your OWIN IAppBuilder app in Startup.cs
   app.UseHpkp(options => options
       .Sha256Pins(
           "Base64 encoded SHA-256 hash of your first certificate e.g. cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=",
           "Base64 encoded SHA-256 hash of your second backup certificate e.g. M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=")
       .MaxAge(days: 30));

5. किसी भी URL के उपयोग में https स्कीम शामिल करें। जब आप कुछ ब्राउज़रों में स्कीम की नकल करते हैं तो कंटेंट सिक्योरिटी पॉलिसी (CSP) HTTP हेडर और सबसोर्स इंटीग्रिटी (SRI) अच्छा नहीं चलता है। HTTPS के बारे में स्पष्ट होना बेहतर है। जैसे

   <script src="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.4/bootstrap.min.js">
   </script>

6. इस सब के साथ एक परियोजना उत्पन्न करने के लिए ASP.NET MVC बॉयलरप्लेट विजुअल स्टूडियो प्रोजेक्ट टेम्पलेट का उपयोग करें और बहुत अधिक बिल्ट इन। आप GitHub पर कोड भी देख सकते हैं ।

LazyOne के उत्तर को बढ़ाने के लिए, यहां उत्तर का एक एनोटेट संस्करण है।

<rewrite>
  <rules>
     <clear />
     <rule name="Redirect all requests to https" stopProcessing="true">
       <match url="(.*)" />
         <conditions logicalGrouping="MatchAll">
           <add input="{HTTPS}" pattern="off" ignoreCase="true" />
         </conditions>
         <action 
            type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" 
            redirectType="Permanent" appendQueryString="false" />
     </rule>
  </rules>
</rewrite>

इस सर्वर पर पहले से परिभाषित किए गए अन्य सभी नियम साफ़ करें। एक नया नियम बनाएं, जिसे हम "https के सभी अनुरोधों को पुनर्निर्देशित करेंगे" नाम देंगे। इस नियम को संसाधित करने के बाद, किसी भी अधिक नियम को संसाधित न करें! सभी आने वाले URL से मिलान करें। फिर जांचें कि क्या ये सभी अन्य शर्तें सही हैं: HTTPS बंद है। ठीक है, यह केवल एक शर्त है (लेकिन सुनिश्चित करें कि यह सच है)। यदि यह है, तो ग्राहक को वापस 301 परमानेंट रीडायरेक्ट भेजें http://www.foobar.com/whatever?else=the#url-contains। उस के अंत में क्वेरी स्ट्रिंग न जोड़ें, क्योंकि यह क्वेरी स्ट्रिंग को डुप्लिकेट करेगा!

यही गुण, गुण और कुछ मूल्यों का मतलब है।

• स्पष्ट सभी सर्वर नियमों को हटा देता है जिन्हें हम अन्यथा विरासत में ले सकते हैं।
• नियम एक नियम को परिभाषित करता है।
  • नाम एक मनमाना नियम के लिए (हालांकि अद्वितीय) नाम।
  • stopProcessing कि क्या IIS अनुरोध पाइपलाइन के लिए अनुरोध को तुरंत अग्रेषित करना है या पहले अतिरिक्त नियमों को संसाधित करना है।
• मैच जब इस नियम को चलाने के लिए।
  • URL को मूल्यांकित करने के लिए एक प्रतिरूप
• स्थिति जब इस नियम को चलाने के लिए के बारे में अतिरिक्त शर्तें; यदि कोई मैच होता है, तो शर्तों को संसाधित किया जाता है।
  • तार्किकग्रुपिंग कि क्या सभी शर्तें सही होनी चाहिए ( MatchAll) या किसी भी स्थिति में सही होनी चाहिए ( MatchAny); AND बनाम OR के समान।
• add एक शर्त जोड़ता है जिसे पूरा किया जाना चाहिए।
  • इनपुट है कि एक शर्त का मूल्यांकन कर रहा है; इनपुट सर्वर चर हो सकता है।
  • उस मानक का पैटर्न जिसके खिलाफ इनपुट का मूल्यांकन करना है।
  • अनदेखा करना कि पूंजीकरण मायने रखता है या नहीं।
• कार्रवाई क्या करना है, तो matchऔर उसके conditionsसभी सही हैं।
  • प्रकार आम तौर पर redirect(क्लाइंट-साइड) या rewrite(सर्वर-साइड) हो सकता है।
  • url इस नियम के परिणामस्वरूप क्या उत्पादन करना है; इस मामले में, https://दो सर्वर चर के साथ संक्षिप्त करें।
  • पुनर्निर्देशन क्या HTTP का उपयोग करने के लिए पुनर्निर्देशित करता है; यह एक 301 स्थायी है।
  • appendQueryString परिणामी के अंत में क्वेरी स्ट्रिंग जोड़ने के लिए urlया नहीं; इस मामले में, हम इसे गलत पर सेट कर रहे हैं, क्योंकि {REQUEST_URI}पहले से ही इसमें शामिल है।

सर्वर चर हैं

• {HTTPS}जो OFFया तो है ON।
• {HTTP_HOST}है www.mysite.com, और
• {REQUEST_URI} बाकी URI शामिल हैं, उदाहरण के लिए /home?key=value
  • ब्राउज़र संभालता है #fragment(LazyOne की टिप्पणी देखें)।

इन्हें भी देखें: https://www.iis.net/learn/extensions/url-rewrite-module/url-rewrite-module-configuration-reference

स्वीकृत जवाब मेरे काम नहीं आया। मैंने इस ब्लॉग पर चरणों का पालन किया ।

एक महत्वपूर्ण बिंदु जो मेरे लिए गायब था, वह यह था कि मुझे IIS के लिए URL रिवाइटर टूल डाउनलोड और इंस्टॉल करना था। मैंने इसे यहां पाया । परिणाम निम्नलिखित था।

<rewrite>
        <rules>
            <remove name="Http to Https" />
            <rule name="Http to Https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
                <match url="*" />
                <conditions>
                    <add input="{HTTPS}" pattern="off" />
                </conditions>
                <serverVariables />
                <action type="Redirect" url="https://{HTTPS_HOST}{REQUEST_URI}" />
            </rule>
        </rules>
    </rewrite>

.Net कोर में, https://docs.microsoft.com/en-us/aspnet/core/security/enforcing-ssl पर दिए गए निर्देशों का पालन करें

अपने स्टार्टअप में। निम्नलिखित जोड़ें:

// Requires using Microsoft.AspNetCore.Mvc;
public void ConfigureServices(IServiceCollection services)
{
    services.Configure<MvcOptions>(options =>
    {
        options.Filters.Add(new RequireHttpsAttribute());
    });`enter code here`

Https को Http पर पुनर्निर्देशित करने के लिए, स्टार्टअप में निम्न जोड़ें

// Requires using Microsoft.AspNetCore.Rewrite;
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    loggerFactory.AddConsole(Configuration.GetSection("Logging"));
    loggerFactory.AddDebug();

    var options = new RewriteOptions()
       .AddRedirectToHttps();

    app.UseRewriter(options);

उत्कृष्ट NWebsec लाइब्रेरी HTTP से HTTPS में आपके अनुरोधों को अपने upgrade-insecure-requestsटैग के साथ अपग्रेड कर सकती है Web.config:

<nwebsec>
  <httpHeaderSecurityModule>
    <securityHttpHeaders>
      <content-Security-Policy enabled="true">
        <upgrade-insecure-requests enabled="true"  />
      </content-Security-Policy>
    </securityHttpHeaders>
  </httpHeaderSecurityModule>
</nwebsec>

मुझे अपने वातावरण में URL रीराइट स्थापित करने की अनुमति नहीं थी, इसलिए, मुझे एक और मार्ग मिला।

इसे मेरे web.config में जोड़ने से त्रुटि फिर से जुड़ गई और IIS 7.5 पर काम किया:

<system.webServer>
    <httpErrors errorMode="Custom" defaultResponseMode="File" defaultPath="C:\WebSites\yoursite\" >    
    <remove statusCode="403" subStatusCode="4" />
    <error statusCode="403" subStatusCode="4" responseMode="File" path="redirectToHttps.html" />
</httpErrors>

फिर, यहाँ सलाह का पालन करें: https://www.sslshopper.com/iis7-redirect-http-to-https.html

मैंने html फ़ाइल बनाई जो रीडायरेक्ट (redirectToHttps.html) करता है:

<html>
<head><title>Redirecting...</title></head>
<script language="JavaScript">
function redirectHttpToHttps()
{
    var httpURL= window.location.hostname + window.location.pathname + window.location.search;
    var httpsURL= "https://" + httpURL;
    window.location = httpsURL;
}
redirectHttpToHttps();
</script>
<body>
</body>
</html>

मुझे आशा है कि किसी को यह उपयोगी लगता है क्योंकि मुझे सभी टुकड़े एक जगह पर कहीं और नहीं मिले।

एक सरल तरीका यह है कि IIS को HTTP अनुरोधों के लिए अपनी कस्टम त्रुटि फ़ाइल भेजने के लिए कहा जाए। फ़ाइल में एक मेटा रीडायरेक्ट, एक जावास्क्रिप्ट रीडायरेक्ट और लिंक के साथ निर्देश आदि हो सकते हैं। महत्वपूर्ण बात यह है कि आप अभी भी साइट (या फ़ोल्डर) के लिए "SSL की आवश्यकता" की जांच कर सकते हैं और यह काम करेगा।

</configuration>
</system.webServer>
    <httpErrors>
        <clear/>
        <!--redirect if connected without SSL-->
        <error statusCode="403" subStatusCode="4" path="errors\403.4_requiressl.html" responseMode="File"/>
    </httpErrors>
</system.webServer>
</configuration>