Страницы SSL в ASP.NET MVC

Как я могу использовать HTTPS для некоторых страниц на моем сайте ASP.NET MVC?

У Стива Сандерсона есть довольно хороший учебник о том, как это сделать DRY на Preview 4 по адресу:

http://blog.codeville.net/2008/08/05/adding-httpsssl-support-to-aspnet-mvc-routing/

Есть ли лучший/обновленный способ с Preview 5?,

Ответ 1

Если вы используете ASP.NET MVC 2 Preview 2 или выше, теперь вы можете просто использовать:

[RequireHttps]
public ActionResult Login()
{
   return View();
}

Хотя параметр порядка стоит отметить, поскольку упоминается здесь.

Ответ 2

MVCFutures имеет атрибут RequireSSL.

(спасибо Адаму за указав, что вне в вашем обновленном blogpost)

Просто примените его к вашему методу действий с помощью "Redirect = true", если вы хотите, чтобы запрос http://автоматически стал https://:

    [RequireSsl(Redirect = true)]

Смотрите также: ASP.NET MVC RequireHttps только в производстве

Ответ 3

Как Amadiere написал, [RequireHttps] отлично работает в MVC 2 для ввода HTTPS. Но если вы хотите использовать HTTPS только для некоторых страниц, как вы сказали, MVC 2 не дает вам никакой любви - как только он переключит пользователя на HTTPS, они застряли там, пока вы их не перенаправите вручную.

Подходом, который я использовал, является использование другого настраиваемого атрибута, [ExitHttpsIfNotRequired]. При подключении к контроллеру или действию это перенаправит HTTP, если:

Запрос был HTTPS
Атрибут [RequireHttps] не был применен к действию (или контроллеру)
Запрос был GET (перенаправление POST приведет к любым неприятностям).

Здесь слишком много сообщений, но вы можете увидеть код здесь плюс некоторые дополнительные сведения.

Ответ 4

Вот последнее сообщение от Дэна Вахлина по этому поводу:

http://weblogs.asp.net/dwahlin/archive/2009/08/25/requiring-ssl-for-asp-net-mvc-controllers.aspx

Он использует атрибут ActionFilter.

Ответ 5

Некоторые расширения ActionLink: http://www.squaredroot.com/post/2008/06/11/MVC-and-SSL.aspx Или атрибут действия контроллера, который перенаправляется на https://http://forums.asp.net/p/1260198/2358380.aspx#2358380

Ответ 6

Для тех, кто не является поклонником ориентированных на атрибуты подходов к разработке, вот фрагмент кода, который может помочь:

public static readonly string[] SecurePages = new[] { "login", "join" };
protected void Application_AuthorizeRequest(object sender, EventArgs e)
{
    var pageName = RequestHelper.GetPageNameOrDefault();
    if (!HttpContext.Current.Request.IsSecureConnection
        && (HttpContext.Current.Request.IsAuthenticated || SecurePages.Contains(pageName)))
    {
        Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"] + HttpContext.Current.Request.RawUrl);
    }
    if (HttpContext.Current.Request.IsSecureConnection
        && !HttpContext.Current.Request.IsAuthenticated
        && !SecurePages.Contains(pageName))
    {
        Response.Redirect("http://" + Request.ServerVariables["HTTP_HOST"] + HttpContext.Current.Request.RawUrl);
    }
}

Существует несколько причин избежать атрибутов, и один из них - это если вы хотите просмотреть список всех защищенных страниц, которые вам придется перепрыгивать через все контроллеры в решении.

Ответ 7

Я пошел по этому вопросу и надеюсь, что мое решение может помочь кому-то.

У нас мало проблем: - Нам нужно обеспечить определенные действия, например "LogOn" в "Учетной записи". Мы можем использовать сборку в атрибуте RequireHttps, что отлично, но оно перенаправит нас с помощью https://. - Мы должны делать наши ссылки, формы и т.д. "SSL осведомлен".

Как правило, мое решение позволяет указать маршруты, которые будут использовать абсолютный URL, в дополнение к возможности указывать протокол. Этот протокол можно использовать для указания протокола "https".

Итак, во-первых, я создал перечисление ConnectionProtocol:

/// <summary>
/// Enum representing the available secure connection requirements
/// </summary>
public enum ConnectionProtocol
{
    /// <summary>
    /// No secure connection requirement
    /// </summary>
    Ignore,

    /// <summary>
    /// No secure connection should be used, use standard http request.
    /// </summary>
    Http,

    /// <summary>
    /// The connection should be secured using SSL (https protocol).
    /// </summary>
    Https
}

Теперь я создал ручную версию RequireSsl. Я изменил исходный исходный код RequireSsl, чтобы перенаправить обратно на http://urls. Кроме того, я поместил поле, которое позволяет нам определить, нужно ли нам требовать SSL или нет (я использую его с предварительным процессором DEBUG).

/* Note:
 * This is hand-rolled version of the original System.Web.Mvc.RequireHttpsAttribute.
 * This version contains three improvements:
 * - Allows to redirect back into http:// addresses, based on the <see cref="SecureConnectionRequirement" /> Requirement property.
 * - Allows to turn the protocol scheme redirection off based on given condition.
 * - Using Request.IsCurrentConnectionSecured() extension method, which contains fix for load-balanced servers.
 */
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public sealed class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
    {
        Protocol = ConnectionProtocol.Ignore;
    }

    /// <summary>
    /// Gets or sets the secure connection required protocol scheme level
    /// </summary>
    public ConnectionProtocol Protocol { get; set; }

    /// <summary>
    /// Gets the value that indicates if secure connections are been allowed
    /// </summary>
    public bool SecureConnectionsAllowed
    {
        get
        {
#if DEBUG
            return false;
#else
            return true;
#endif
        }
    }

    public void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        /* Are we allowed to use secure connections? */
        if (!SecureConnectionsAllowed)
            return;

        switch (Protocol)
        {
            case ConnectionProtocol.Https:
                if (!filterContext.HttpContext.Request.IsCurrentConnectionSecured())
                {
                    HandleNonHttpsRequest(filterContext);
                }
                break;
            case ConnectionProtocol.Http:
                if (filterContext.HttpContext.Request.IsCurrentConnectionSecured())
                {
                    HandleNonHttpRequest(filterContext);
                }
                break;
        }
    }


    private void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException("The requested resource can only be accessed via SSL.");
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url);
    }

    private void HandleNonHttpRequest(AuthorizationContext filterContext)
    {
        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException("The requested resource can only be accessed without SSL.");
        }

        // redirect to HTTP version of page
        string url = "http://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url);
    }
}

Теперь этот RequireSsl выполнит следующую базу в вашем атрибуте атрибута "Требования": - Игнорировать: ничего не сделаешь. - Http: принудительно перенаправляет протокол http. - Https: принудительно перенаправляет протокол https.

Вы должны создать свой собственный базовый контроллер и установить этот атрибут в Http.

[RequireSsl(Requirement = ConnectionProtocol.Http)]
public class MyController : Controller
{
    public MyController() { }
}

Теперь, в каждом cpntroller/action, который вы хотите использовать SSL, просто установите этот атрибут в ConnectionProtocol.Https.

Теперь переходим к URL-адресам: у нас мало проблем с движком маршрутизации URL. Подробнее о них вы можете узнать в http://blog.stevensanderson.com/2008/08/05/adding-httpsssl-support-to-aspnet-mvc-routing/. Решение, предложенное в этой статье, теоретически хорошо, но старое, и мне не нравится этот подход.

Мои решения заключаются в следующем: Создайте подкласс основного класса "Маршрут":

публичный класс AbsoluteUrlRoute: Маршрут { #region ctor

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, IRouteHandler routeHandler)
        : base(url, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, IRouteHandler routeHandler)
        : base(url, defaults, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="constraints">A regular expression that specifies valid values for a URL parameter.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, RouteValueDictionary constraints,
                            IRouteHandler routeHandler)
        : base(url, defaults, constraints, routeHandler)
    {

    }

    /// <summary>
    /// Initializes a new instance of the System.Web.Routing.Route class, by using
    ///     the specified URL pattern and handler class.
    /// </summary>
    /// <param name="url">The URL pattern for the route.</param>
    /// <param name="defaults">The values to use for any parameters that are missing in the URL.</param>
    /// <param name="constraints">A regular expression that specifies valid values for a URL parameter.</param>
    /// <param name="dataTokens">Custom values that are passed to the route handler, but which are not used
    ///     to determine whether the route matches a specific URL pattern. These values
    ///     are passed to the route handler, where they can be used for processing the
    ///     request.</param>
    /// <param name="routeHandler">The object that processes requests for the route.</param>
    public AbsoluteUrlRoute(string url, RouteValueDictionary defaults, RouteValueDictionary constraints,
                            RouteValueDictionary dataTokens, IRouteHandler routeHandler)
        : base(url, defaults, constraints, dataTokens, routeHandler)
    {

    }

    #endregion

    public override VirtualPathData GetVirtualPath(RequestContext requestContext, RouteValueDictionary values)
    {
        var virtualPath = base.GetVirtualPath(requestContext, values);
        if (virtualPath != null)
        {
            var scheme = "http";
            if (this.DataTokens != null && (string)this.DataTokens["scheme"] != string.Empty)
            {
                scheme = (string) this.DataTokens["scheme"];
            }

            virtualPath.VirtualPath = MakeAbsoluteUrl(requestContext, virtualPath.VirtualPath, scheme);
            return virtualPath;
        }

        return null;
    }

    #region Helpers

    /// <summary>
    /// Creates an absolute url
    /// </summary>
    /// <param name="requestContext">The request context</param>
    /// <param name="virtualPath">The initial virtual relative path</param>
    /// <param name="scheme">The protocol scheme</param>
    /// <returns>The absolute URL</returns>
    private string MakeAbsoluteUrl(RequestContext requestContext, string virtualPath, string scheme)
    {
        return string.Format("{0}://{1}{2}{3}{4}",
                             scheme,
                             requestContext.HttpContext.Request.Url.Host,
                             requestContext.HttpContext.Request.ApplicationPath,
                             requestContext.HttpContext.Request.ApplicationPath.EndsWith("/") ? "" : "/",
                             virtualPath);
    }

    #endregion
}

Эта версия класса "Маршрут" создаст абсолютный URL-адрес. Трюк здесь, за которым следует предложение автора сообщения в блоге, заключается в использовании DataToken для указания схемы (пример в конце:)).

Теперь, если мы создадим URL-адрес, например, для маршрута "Account/LogOn", мы получим "/ http://example.com/Account/LogOn" - что, поскольку UrlRoutingModule рассматривает все URL как относительные. Мы можем исправить это, используя пользовательский HttpModule:

public class AbsoluteUrlRoutingModule : UrlRoutingModule
{
    protected override void Init(System.Web.HttpApplication application)
    {
        application.PostMapRequestHandler += application_PostMapRequestHandler;
        base.Init(application);
    }

    protected void application_PostMapRequestHandler(object sender, EventArgs e)
    {
        var wrapper = new AbsoluteUrlAwareHttpContextWrapper(((HttpApplication)sender).Context);
    }

    public override void PostResolveRequestCache(HttpContextBase context)
    {
        base.PostResolveRequestCache(new AbsoluteUrlAwareHttpContextWrapper(HttpContext.Current));
    }

    private class AbsoluteUrlAwareHttpContextWrapper : HttpContextWrapper
    {
        private readonly HttpContext _context;
        private HttpResponseBase _response = null;

        public AbsoluteUrlAwareHttpContextWrapper(HttpContext context)
            : base(context)
        {
            this._context = context;
        }

        public override HttpResponseBase Response
        {
            get
            {
                return _response ??
                       (_response =
                        new AbsoluteUrlAwareHttpResponseWrapper(_context.Response));
            }
        }


        private class AbsoluteUrlAwareHttpResponseWrapper : HttpResponseWrapper
        {
            public AbsoluteUrlAwareHttpResponseWrapper(HttpResponse response)
                : base(response)
            {

            }

            public override string ApplyAppPathModifier(string virtualPath)
            {
                int length = virtualPath.Length;
                if (length > 7 && virtualPath.Substring(0, 7) == "/http:/")
                    return virtualPath.Substring(1);
                else if (length > 8 && virtualPath.Substring(0, 8) == "/https:/")
                    return virtualPath.Substring(1);

                return base.ApplyAppPathModifier(virtualPath);
            }
        }
    }
}

Поскольку этот модуль переопределяет базовую реализацию UrlRoutingModule, мы должны удалить базовый httpModule и зарегистрировать нашу в web.config. Итак, в разделе "system.web" установите:

<httpModules>
  <!-- Removing the default UrlRoutingModule and inserting our own absolute url routing module -->
  <remove name="UrlRoutingModule-4.0" />
  <add name="UrlRoutingModule-4.0" type="MyApp.Web.Mvc.Routing.AbsoluteUrlRoutingModule" />
</httpModules>

Вот оно:).

Чтобы зарегистрировать абсолютный/протокол, следующий за маршрутом, вы должны сделать:

        routes.Add(new AbsoluteUrlRoute("Account/LogOn", new MvcRouteHandler())
            {
                Defaults = new RouteValueDictionary(new {controller = "Account", action = "LogOn", area = ""}),
                DataTokens = new RouteValueDictionary(new {scheme = "https"})
            });

Будет приятно слышать ваши отзывы + улучшения. Надеюсь, это поможет!:)

Изменить: Я забыл включить метод расширения IsCurrentConnectionSecured() (слишком много фрагментов: P). Это метод расширения, который обычно использует Request.IsSecuredConnection. Однако этот подход не будет работать при использовании балансировки нагрузки - поэтому этот метод может обойти это (взято из nopCommerce).

    /// <summary>
    /// Gets a value indicating whether current connection is secured
    /// </summary>
    /// <param name="request">The base request context</param>
    /// <returns>true - secured, false - not secured</returns>
    /// <remarks><![CDATA[ This method checks whether or not the connection is secured.
    /// There a standard Request.IsSecureConnection attribute, but it won't be loaded correctly in case of load-balancer.
    /// See: <a href="http://nopcommerce.codeplex.com/SourceControl/changeset/view/16de4a113aa9#src/Libraries/Nop.Core/WebHelper.cs">nopCommerce WebHelper IsCurrentConnectionSecured()</a>]]></remarks>
    public static bool IsCurrentConnectionSecured(this HttpRequestBase request)
    {
        return request != null && request.IsSecureConnection;

        //  when your hosting uses a load balancer on their server then the Request.IsSecureConnection is never got set to true, use the statement below
        //  just uncomment it
        //return request != null && request.ServerVariables["HTTP_CLUSTER_HTTPS"] == "on";
    }

Ответ 8

Здесь блога Pablo M. Cibrano с января 2009 года, в котором собраны несколько методов, включая методы HttpModule и расширения.

Ответ 9

Здесь запись блога Адамом Сальво, в которой используется ActionFilter.

Ответ 10

Это не обязательно зависит от MVC, но это решение действительно работает как для ASP.NET WebForms, так и для MVC:

http://www.codeproject.com/KB/web-security/WebPageSecurity_v2.aspx

Я использовал это в течение нескольких лет и как разделение проблем и управления с помощью файла web.config.

Ответ 11

MVC 6 (ASP.NET Core 1.0) немного отличается от Startup.cs.

Чтобы использовать RequireHttpsAttribute (как указано в answer от Amadiere) на всех страницах, вы можете добавить это в Startup.cs вместо использования стиля атрибута на каждом контроллере (или вместо создания BaseController для всех ваших контроллеров, наследуемых от).

Startup.cs - зарегистрировать фильтр:

public void ConfigureServices(IServiceCollection services)
{
    // TODO: Register other services

    services.AddMvc(options =>
    {
        options.Filters.Add(typeof(RequireHttpsAttribute));
    });
}

Для получения дополнительной информации о проектных решениях для вышеуказанного подхода см. мой ответ на аналогичный вопрос о о том, как исключить запросы localhost из инструкции RequireHttpsAttribute.