如何在 ASP.NET 中在網站範圍內強制執行 HTTPS？

在 ASP.NET 中實作 HTTPS 網站範圍：綜合指南

為了確保安全通信，將所有網站流量重新導向到HTTPS。實作此措施歷來涉及檢查各個頁面載入事件和重定向非 HTTPS 請求。然而，還有更有效的方法，包括利用 web.config 設定。

HTTP 嚴格傳輸安全 (HSTS)

HSTS 建立一個指示瀏覽器始終連接的指令使用 HTTPS 訪問網站，無論初始請求如何。啟用HSTS 需要將以下程式碼新增至您的web.config 檔案：

<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <!-- Prevent HTTP requests and enable HSTS -->
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

此設定將所有HTTP 請求重新導向至HTTPS，並將HSTS 標頭新增至後續HTTPS 回應中，指示瀏覽器對指定的伺服器強制執行HTTPS連接

原始解決方案

而HSTS 是建議的方法，以下程式碼仍可用作後備：

public void Application_BeginRequest(Object sender, EventArgs e) {
    if (!HttpContext.Current.Request.IsSecureConnection && !HttpContext.Current.Request.IsLocal) {
        Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"] + HttpContext.Current.Request.RawUrl);
    }
}

注意： 此方法依賴Application_BeginRequest 事件，事件可能不適用於所有場景。另一方面，HSTS 提供了更強大、更可靠的解決方案。

以上是如何在 ASP.NET 中在網站範圍內強制執行 HTTPS？的詳細內容。更多資訊請關注PHP中文網其他相關文章！