Страницы SSL под ASP.NET MVC

Question

Страницы SSL под ASP.NET MVC

Как я могу использовать HTTPS для некоторых страниц в моем ASP.NET сайт на основе MVC?

У Стива Сандерсона есть довольно хороший учебник о том, как сделать это сухим способом на Preview 4 по адресу:

http://blog.codeville.net/2008/08/05/adding-httpsssl-support-to-aspnet-mvc-routing/

есть ли лучший / обновленный способ с предварительным просмотром 5?,

685 11

asp.net-mvc asp.net https ssl

11 ответов:

Comments

Ничего не найдено.

Amadiere · Accepted Answer · 2010-03-01 23:03:31

Если вы используете ASP.NET MVC 2 Preview 2 или выше, Теперь вы можете просто использовать:
[RequireHttps]
public ActionResult Login()
{
   return View();
}
хотя, параметр order стоит отметить, как упомянутые здесь.

Simon_Weaver · Accepted Answer · 2017-05-23 15:17:39

MVCFutures есть requiressl значения атрибута.

(спасибо Адаму за указал в вашем обновленном блоге)

просто примените его к своему методу действий, с 'Redirect=true', если вы хотите, чтобы http:// запрос автоматически стал https://:
    [RequireSsl(Redirect = true)]
Смотрите также:ASP.NET MVC RequireHttps только в производстве

Luke Sampson · Accepted Answer · 2017-05-23 15:17:39

Как Amadiere писал, [RequireHttps] отлично работает в MVC 2 для задание HTTPS. Но если вы хотите использовать только HTTPS для некоторые страницы как вы сказали, MVC 2 не дает вам никакой любви-как только он переключает пользователя на HTTPS, они застряли там, пока вы не перенаправите их вручную.

подход, который я использовал, заключается в использовании другого пользовательского атрибута, [ExitHttpsIfNotRequired]. При подключении к контроллеру или действию это перенаправит на HTTP если:

запрос был HTTPS

атрибут [RequireHttps] не был применен к действию (или контроллеру)

запрос был GET (перенаправление сообщения приведет к всевозможным неприятностям).

Это немного слишком большой, чтобы разместить здесь, но вы можете увидеть здесь код плюс некоторые дополнительные детали.

klabranche · Accepted Answer · 2009-10-11 17:39:17

вот недавний пост от Дэна Валина по этому поводу:

http://weblogs.asp.net/dwahlin/archive/2009/08/25/requiring-ssl-for-asp-net-mvc-controllers.aspx

Он использует атрибут ActionFilter.

David Laing · Accepted Answer · 2008-10-01 13:10:14

некоторые расширения ActionLink:http://www.squaredroot.com/post/2008/06/11/MVC-and-SSL.aspx Или атрибут действия контроллера, который перенаправляет на https://http://forums.asp.net/p/1260198/2358380.aspx#2358380

user1015515 · Accepted Answer · 2012-10-11 12:30:26

для тех, кто не является поклонником атрибутивно-ориентированных подходов к разработке, вот фрагмент кода, который может помочь:
public static readonly string[] SecurePages = new[] { "login", "join" };
protected void Application_AuthorizeRequest(object sender, EventArgs e)
{
    var pageName = RequestHelper.GetPageNameOrDefault();
    if (!HttpContext.Current.Request.IsSecureConnection
        && (HttpContext.Current.Request.IsAuthenticated || SecurePages.Contains(pageName)))
    {
        Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"] + HttpContext.Current.Request.RawUrl);
    }
    if (HttpContext.Current.Request.IsSecureConnection
        && !HttpContext.Current.Request.IsAuthenticated
        && !SecurePages.Contains(pageName))
    {
        Response.Redirect("http://" + Request.ServerVariables["HTTP_HOST"] + HttpContext.Current.Request.RawUrl);
    }
}
существует несколько причин избегать атрибутов, и одна из них-если вы хотите посмотреть список всех защищенных страниц, вам придется перепрыгнуть через все контроллеры в решении.

Gindi Bar Yahav · Accepted Answer · 2013-04-30 20:26:06

я пошел по этому вопросу и надеюсь, что мое решение может помочь кому-то.

у нас мало проблем: - Нам нужно обеспечить определенные действия, например "вход" в "учетную запись". Мы можем использовать атрибут build in RequireHttps, что отлично , но он перенаправит нас обратно с помощью https://. - Мы должны сделать наши ссылки, формы и такие "SSL aware".

как правило, мое решение позволяет указать маршруты, которые будут использовать абсолютный url, в дополнение к возможности указать протокол. Этот подход можно использовать для указания протокола "https".

Итак, во-первых я создал ConnectionProtocol enum:

/// <summary>
/// Enum representing the available secure connection requirements
/// </summary>
public enum ConnectionProtocol
{
    /// <summary>
    /// No secure connection requirement
    /// </summary>
    Ignore,

    /// <summary>
    /// No secure connection should be used, use standard http request.
    /// </summary>
    Http,

    /// <summary>
    /// The connection should be secured using SSL (https protocol).
    /// </summary>
    Https
}

теперь я создал ручную версию RequireSsl. Я изменил исходный исходный код RequireSsl, чтобы разрешить перенаправление обратно на HTTP: / / URL. Кроме того, я поместил поле, которое позволяет нам определить, следует ли нам требовать SSL или нет (я использую его с предварительным процессором отладки).

/* Note:
 * This is hand-rolled version of the original System.Web.Mvc.RequireHttpsAttribute.
 * This version contains three improvements:
 * - Allows to redirect back into http:// addresses, based on the <see cref="SecureConnectionRequirement" /> Requirement property.
 * - Allows to turn the protocol scheme redirection off based on given condition.
 * - Using Request.IsCurrentConnectionSecured() extension method, which contains fix for load-balanced servers.
 */
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public sealed class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
    {
        Protocol = ConnectionProtocol.Ignore;
    }

    /// <summary>
    /// Gets or sets the secure connection required protocol scheme level
    /// </summary>
    public ConnectionProtocol Protocol { get; set; }

    /// <summary>
    /// Gets the value that indicates if secure connections are been allowed
    /// </summary>
    public bool SecureConnectionsAllowed
    {
        get
        {
#if DEBUG
            return false;
#else
            return true;
#endif
        }
    }

    public void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        /* Are we allowed to use secure connections? */
        if (!SecureConnectionsAllowed)
            return;

        switch (Protocol)
        {
            case ConnectionProtocol.Https:
                if (!filterContext.HttpContext.Request.IsCurrentConnectionSecured())
                {
                    HandleNonHttpsRequest(filterContext);
                }
                break;
            case ConnectionProtocol.Http:
                if (filterContext.HttpContext.Request.IsCurrentConnectionSecured())
                {
                    HandleNonHttpRequest(filterContext);
                }
                break;
        }
    }


    private void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException("The requested resource can only be accessed via SSL.");
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url);
    }

    private void HandleNonHttpRequest(AuthorizationContext filterContext)
    {
        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException("The requested resource can only be accessed without SSL.");
        }

        // redirect to HTTP version of page
        string url = "http://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url);
    }
}

теперь, это RequireSsl будет выполните следующие действия на основе значения атрибута требования: - Игнорировать: ничего не будет делать. - Http: принудительное перенаправление на протокол http. - Https: принудительное перенаправление на протокол https.

вы должны создать свой собственный базовый контроллер и установить этот атрибут в Http.

[RequireSsl(Requirement = ConnectionProtocol.Http)]
public class MyController : Controller
{
    public MyController() { }
}

теперь, в каждом cpntroller / действии вы хотели бы требовать SSL-просто установите этот атрибут с ConnectionProtocol.Протокол https.

теперь давайте перейдем к URL: у нас есть несколько проблем с url механизм маршрутизации. Вы можете прочитать больше о них по адресу http://blog.stevensanderson.com/2008/08/05/adding-httpsssl-support-to-aspnet-mvc-routing/. решение, предложенное в этом посте, теоретически хорошо, но старое, и мне не нравится подход.

мое решение заключается в следующем: Создайте подкласс базового класса "маршрут":

общественный класс AbsoluteUrlRoute: маршрут { #регион ctor

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, IRouteHandler routeHandler)
        : base(url, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, IRouteHandler routeHandler)
        : base(url, defaults, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="constraints">A regular expression that specifies valid values for a URL parameter.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, RouteValueDictionary constraints,
                            IRouteHandler routeHandler)
        : base(url, defaults, constraints, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="constraints">A regular expression that specifies valid values for a URL parameter.</param>
    /// <param name="dataTokens">Custom values that are passed to the route handler, but which are not used
    ///     to determine whether the route matches a specific URL pattern. These values
    ///     are passed to the route handler, where they can be used for processing the
    ///     request.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, RouteValueDictionary constraints,
                            RouteValueDictionary dataTokens, IRouteHandler routeHandler)
        : base(url, defaults, constraints, dataTokens, routeHandler)
    {

    }

    #endregion

    public override VirtualPathData GetVirtualPath(RequestContext requestContext, RouteValueDictionary values)
    {
        var virtualPath = base.GetVirtualPath(requestContext, values);
        if (virtualPath != null)
        {
            var scheme = "http";
            if (this.DataTokens != null && (string)this.DataTokens["scheme"] != string.Empty)
            {
                scheme = (string) this.DataTokens["scheme"];
            }

            virtualPath.VirtualPath = MakeAbsoluteUrl(requestContext, virtualPath.VirtualPath, scheme);
            return virtualPath;
        }

        return null;
    }

    #region Helpers

    /// <summary>
    /// Creates an absolute url
    /// </summary>
    /// <param name="requestContext">The request context</param>
    /// <param name="virtualPath">The initial virtual relative path</param>
    /// <param name="scheme">The protocol scheme</param>
    /// <returns>The absolute URL</returns>
    private string MakeAbsoluteUrl(RequestContext requestContext, string virtualPath, string scheme)
    {
        return string.Format("{0}://{1}{2}{3}{4}",
                             scheme,
                             requestContext.HttpContext.Request.Url.Host,
                             requestContext.HttpContext.Request.ApplicationPath,
                             requestContext.HttpContext.Request.ApplicationPath.EndsWith("/") ? "" : "/",
                             virtualPath);
    }

    #endregion
}

эта версия класса "маршрут" создаст абсолютный url. Трюк здесь, а затем предложение автора сообщения в блоге, заключается в использовании DataToken для указания схемы (пример в конце :) ).

теперь, если мы создадим url, например для маршрута "учетная запись / вход в систему", мы получим"/http://example.com/Account/LogOn " - это с тех пор, как UrlRoutingModule видит все URL-адреса как относительные. Мы можем исправить это с помощью пользовательского HttpModule:

public class AbsoluteUrlRoutingModule : UrlRoutingModule
{
    protected override void Init(System.Web.HttpApplication application)
    {
        application.PostMapRequestHandler += application_PostMapRequestHandler;
        base.Init(application);
    }

    protected void application_PostMapRequestHandler(object sender, EventArgs e)
    {
        var wrapper = new AbsoluteUrlAwareHttpContextWrapper(((HttpApplication)sender).Context);
    }

    public override void PostResolveRequestCache(HttpContextBase context)
    {
        base.PostResolveRequestCache(new AbsoluteUrlAwareHttpContextWrapper(HttpContext.Current));
    }

    private class AbsoluteUrlAwareHttpContextWrapper : HttpContextWrapper
    {
        private readonly HttpContext _context;
        private HttpResponseBase _response = null;

        public AbsoluteUrlAwareHttpContextWrapper(HttpContext context)
            : base(context)
        {
            this._context = context;
        }

        public override HttpResponseBase Response
        {
            get
            {
                return _response ??
                       (_response =
                        new AbsoluteUrlAwareHttpResponseWrapper(_context.Response));
            }
        }


        private class AbsoluteUrlAwareHttpResponseWrapper : HttpResponseWrapper
        {
            public AbsoluteUrlAwareHttpResponseWrapper(HttpResponse response)
                : base(response)
            {

            }

            public override string ApplyAppPathModifier(string virtualPath)
            {
                int length = virtualPath.Length;
                if (length > 7 && virtualPath.Substring(0, 7) == "/http:/")
                    return virtualPath.Substring(1);
                else if (length > 8 && virtualPath.Substring(0, 8) == "/https:/")
                    return virtualPath.Substring(1);

                return base.ApplyAppPathModifier(virtualPath);
            }
        }
    }
}

так как этот модуль переопределяет базовую реализацию UrlRoutingModule, мы должны удалить базовый httpModule и зарегистрировать наш в интернете.конфиг. Итак, в разделе " Система.веб" набор:

<httpModules>
  <!-- Removing the default UrlRoutingModule and inserting our own absolute url routing module -->
  <remove name="UrlRoutingModule-4.0" />
  <add name="UrlRoutingModule-4.0" type="MyApp.Web.Mvc.Routing.AbsoluteUrlRoutingModule" />
</httpModules>

вот и все :).

для того, чтобы зарегистрировать абсолютный / протокол следовал маршрут, вы должны сделать:

        routes.Add(new AbsoluteUrlRoute("Account/LogOn", new MvcRouteHandler())
            {
                Defaults = new RouteValueDictionary(new {controller = "Account", action = "LogOn", area = ""}),
                DataTokens = new RouteValueDictionary(new {scheme = "https"})
            });

будем рады услышать ваши отзывы улучшения. Надеюсь, что это может помочь! :)

изменить: Я забыл включить метод расширения IsCurrentConnectionSecured () (слишком много фрагментов :P). Это метод расширения, который обычно использует запрос.IsSecuredConnection. Однако, этот подход не будет работать при использовании балансировки нагрузки - поэтому этот метод может обойти это (взял из имеющихся).

    /// <summary>
    /// Gets a value indicating whether current connection is secured
    /// </summary>
    /// <param name="request">The base request context</param>
    /// <returns>true - secured, false - not secured</returns>
    /// <remarks><![CDATA[ This method checks whether or not the connection is secured.
    /// There's a standard Request.IsSecureConnection attribute, but it won't be loaded correctly in case of load-balancer.
    /// See: <a href="http://nopcommerce.codeplex.com/SourceControl/changeset/view/16de4a113aa9#src/Libraries/Nop.Core/WebHelper.cs">nopCommerce WebHelper IsCurrentConnectionSecured()</a>]]></remarks>
    public static bool IsCurrentConnectionSecured(this HttpRequestBase request)
    {
        return request != null && request.IsSecureConnection;

        //  when your hosting uses a load balancer on their server then the Request.IsSecureConnection is never got set to true, use the statement below
        //  just uncomment it
        //return request != null && request.ServerVariables["HTTP_CLUSTER_HTTPS"] == "on";
    }

Robin Minto · Accepted Answer · 2009-04-21 10:52:36

здесь сообщение в блоге Пабло М. Сибрано С января 2009 года, который собирает несколько методов, включая HttpModule и методы расширения.

Robin Minto · Accepted Answer · 2009-04-21 10:58:56

здесь сообщение в блоге Адама Сальво который использует ActionFilter.

Steven Pena · Accepted Answer · 2010-06-08 16:41:10

Это не обязательно специфично для MVC, но это решение работает для обоих ASP.NET WebForms и MVC:

http://www.codeproject.com/KB/web-security/WebPageSecurity_v2.aspx

Я использовал это в течение нескольких лет и как разделение проблем и управления через интернет.конфигурационный файл.

Nick Niebling · Accepted Answer · 2017-05-23 15:09:54

MVC 6 (ASP.NET Core 1.0) работает немного по-другому при запуске.цезий.

для использования RequireHttpsAttribute (как указано в ответ by Amadiere) на всех страницах вы можете добавить это в Startup.cs вместо использования стиля атрибута на каждом контроллере (или вместо создания BaseController для всех ваших контроллеров для наследования).

Автозагрузка.cs - фильтр зарегистрироваться:
public void ConfigureServices(IServiceCollection services)
{
    // TODO: Register other services

    services.AddMvc(options =>
    {
        options.Filters.Add(typeof(RequireHttpsAttribute));
    });
}
для получения дополнительной информации о дизайне решения для вышеуказанного подхода см. Мой ответ на аналогичный вопрос о как исключить запросы localhost из обработки атрибутом RequireHttpsAttribute.