MVC RequireHttps и перенаправить, если не https

Question

MVC RequireHttps и перенаправить, если не https

Я прочитал много вопросов о ASP.NET MVC [RequireHttps] - но не могу найти ответ на этот вопрос:

Как вы делаете [RequireHttps] атрибут переключить URL-адрес на https, если это не было https для начала?

У меня есть этот код:

public ActionResult DoSomething()
{
    return View("AnotherAction");
}

[RequireHttps]
public ActionResult AnotherAction()
{
    return View();
}

Но я получаю сообщение об ошибке: "Запрашиваемый ресурс доступен только через SSL".

Фьючерсный проект MVC имеет похожий атрибут [RequireSsl(Redirect = true)], Но это уже устарело... Что является эквивалентом в MVC 2?

Когда кто-то вводит URL-адрес http://example.com/home/dosomething ИЛИ URL-адрес http://example.com/home/anotheraction, мне нужно, чтобы они автоматически перенаправлялись на URL-адрес https: //example.com / Главная / anotheraction

РЕДАКТИРОВАТЬ это последовательность событий:

URL http://example.com/home/dosomething вызывается с другого сайта. Они перенаправляют своих пользователей на этот URL (с response.redirect или аналогичным).

DoSomething() затем пытается вернуться AnotherAction(), но завершается с сообщением об ошибке "Запрошенный ресурс может быть доступен только через SSL".

14

c# ssl asp.net-mvc-2 requirehttps

Источник

user325727 27 мар '11 в 04:31

5 ответов

Решение

[MVC 4] краткий ответ:

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection)
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

более длинный ответ:
чтобы перейти с http на https, вы не можете отправить перенаправление на https после первого пакета,
для этого вам нужно поймать пакет с помощью Application_BeginRequest,
из Global.asax добавьте функцию, и она переопределит значение по умолчанию,
код должен быть примерно таким (Global.asax на уровне класса):

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection && 
      !Request.Url.Host.Contains("localhost") && 
      Request.Url.AbsolutePath.Contains("SGAccount/Login"))
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

Я настоятельно рекомендую установить точки останова и осмотреть объект Request.Url на предмет необходимости, связанной с URL.
или посетите страницу msdn, запутавшуюся в request.url absoluteuri vs originalstring?
так что я могу пойти в dotnetperls для примеров.
эта функция позволяет вам разрабатывать на локальном хосте и развертывать ваш код как есть.
Теперь для каждой страницы, которую вы хотите сделать перенаправлением https, вам нужно указать это в условии if.
чтобы перейти с https на http, вы можете использовать обычную Response.Redirect так:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}", Request.Url.Authority), true);
}

обратите внимание, что это также поддерживает работу над тем же кодом при разработке на локальном хосте, не прерывая первоначальный ход вещей до добавления https.

также я рекомендую подумать о реализации некоторого соглашения об обратном URL (если оно еще не реализовано), в этом случае вы должны сделать что-то вроде этого:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}{1}", Request.Url.Authority, returnUrl), true);
}

это перенаправит на запрошенную страницу после входа в систему.

естественно, вы должны защищать каждую страницу, которая показывает пользовательские данные, зарегистрироваться, войти и многое другое.

15

Источник

user1308435 29 июл '13 в 23:11

Http HEAD- запросы, похоже, не перенаправляются. Просматривая наши журналы ошибок, мы видим много этого сообщения, прибегая к помощи Google, но после более детального изучения у них есть несколько интересных "особенностей".

Метод запроса: HEAD
Пользовательский агент: curl/7.35.0

Другими словами, все неудачные попытки не были обращены к клиенту...

(100% благодарность за комментарий от @arserbin3 за то, что я понял, что все они были запросами HEAD)

3

Источник

user1560273 28 июл '16 в 14:09

MVC4 теперь перенаправляет

но не так, как вы ожидаете.

http://www.example.com:8080/alpha/bravo/charlie?q=quux будет перенаправлять браузер клиента на https://www.example.com/alpha/bravo/charlie?q=quux

Обратите внимание на отсутствие номера порта.

http://aspnetwebstack.codeplex.com/SourceControl/latest code test [Fact] public void OnAuthorizationRedirectsIfRequestIsNotSecureAndMethodIsGet()

подтверждает, что это желаемое поведение.

Если вы хотите написать собственный атрибут, который включает в себя ПОРТ... вы можете основывать свой код на:

http://aspnetwebstack.codeplex.com/SourceControl/latest

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
        : this(permanent: false)
    {
    }

    /// <summary>
    /// Initializes a new instance of the <see cref="RequireHttpsAttribute"/> class.
    /// </summary>
    /// <param name="permanent">Whether the redirect to HTTPS should be a permanent redirect.</param>
    public RequireHttpsAttribute(bool permanent)
    {
        this.Permanent = permanent;
    }

    /// <summary>
    /// Gets a value indicating whether the redirect to HTTPS should be a permanent redirect.
    /// </summary>
    public bool Permanent { get; private set; }

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        if (!filterContext.HttpContext.Request.IsSecureConnection)
        {
            HandleNonHttpsRequest(filterContext);
        }
    }

    protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url, this.Permanent);
    }
}

2

Источник

user1586498 24 фев '15 в 05:31

В дополнение к уже полученному ответу, это код из реализации HandleNonHttpsRequest MVC 5

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    // only redirect for GET requests, otherwise the browser might not propagate the verb and request
    // body correctly.
    ...
}

0

Источник

user746754 04 фев '14 в 21:46

Другие вопросы по тегам c# ssl asp.net-mvc-2 requirehttps

user409259 27 мар '11 в 05:21 2011-03-27 05:21 · Accepted Answer · 2011-03-27 05:21

RequiresHttps Атрибут автоматически пытается перенаправить на https://your-url, Я проверил это поведение на моем сайте, который использует этот атрибут, а также посмотрел код в Reflector:

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    if (!string.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
    {
        throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
    }
    string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
    filterContext.Result = new RedirectResult(url);
}

Вы уверены, что ваш сайт настроен для принятия безопасных соединений? Что произойдет, если вы попытаетесь перейти к https://your-url напрямую?