您能否将 IIS7 配置为对某些页面使用 SSL,但不对其他页面使用 SSL?

您能否将 IIS7 配置为对某些页面使用 SSL,但不对其他页面使用 SSL?

我们正在将 MVC2 网站部署到生产环境,并希望将 SSL 限制在登录页和主页上(主页也有一个登录框)。这是 Url Rewrite 的工作吗?

答案1

是的,URL Rewrite 非常适合这个用途。

IIS 本身为您提供了 SSL 选项,但您需要自行决定在 HTML/站点中将用户指向 https 并返回。URL 重写可以作为一层很好的保护,以防有人将页面加入书签或手动输入,或者您遗漏了 HTML 中的某些内容。

在 URL Rewrite 中,使用 {HTTPS} = off 和 {URL} 来检查页面是否需要重定向到 https。

答案2

从应用程序代码中执行此操作可能更容易。重定向到 https://{url}?{querystring} 最多只需两三行

答案3

我认为,除非在非常特殊的用例中,否则这可能是一个坏主意。假设您在用户登录后传回会话 cookie。未加密的 cookie 非常容易在公共网络上嗅探并用于劫持会话,因为火羊现在大多数开发人员可能已经清楚这一点了。

如果您真的想保护用户的登录信息,那么您需要保护会话 cookie,而不仅仅是他们的密码。

相关内容