在 MVC 应用程序中的所有页面上强制执行 HTTPS

Question

我有一个在共享服务器上运行的 ASP.NET MVC3 应用程序。我已经在服务器上安装了 SSL 证书，并且我的应用程序中的所有控制器都装饰有 RequireHTTPS。其目的是确保没有未加密的页面提供（即所有页面都通过 HTTPS 提供）。

但是，某些页面（例如 js、HTML 错误页面）可以在未加密的情况下访问（通过在请求中的主机名中添加 :80）。当然，我正在谈论的页面是静态的，但我如何保护我网站中的所有页面，防止其中任何一个被未经加密下载。我无权访问 IIS 服务器设置，因为这是一个共享站点，但有没有办法使用 HTTP 处理程序或重写 URL 模块（或者我可以直接在文件夹上设置权限）？

感谢您提供任何信息。

Answer 1

我使用这样的动作过滤器属性

public class RequireSSL : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        HttpRequestBase req = filterContext.HttpContext.Request;
        HttpResponseBase res = filterContext.HttpContext.Response;

        //Check if we're secure or not and if we're on the local machine
        if (!req.IsSecureConnection && !req.IsLocal)
        {

            var builder = new UriBuilder(req.Url)

                              {
                                  Scheme = Uri.UriSchemeHttps,
                                  Port = 443
                              };
            res.Redirect(builder.Uri.ToString());
        }
        base.OnActionExecuting(filterContext);

    }


}

然后我用这个属性创建了一个名为 SecureController 的基本控制器

  [RequireSSL]
 public class SecureController : Controller
{

}

那么任何我想成为 SSL 的控制器都会继承这个控制器。 希望有帮助 您只需要确保所有“页面”都是控制器操作返回的视图。如果需要，这应该是一个非常容易的更改。