假设您有一个收集和提交敏感信息的表单,并且您希望确保它永远不会通过不安全(非HTTPS)的方式访问,那么您应该如何执行该策略呢?
发布于 2008-09-11 00:54:29
我认为最可靠的解决方案是只将代码放在SSL文档的根目录中。这将确保您(或将来的其他开发人员)不会意外地链接到表单的非安全版本。如果您同时拥有HTTP和HTTPS上的表单,那么如果无意中使用了错误的表单,您可能甚至不会注意到。
如果这是不可行的,那么我将采取至少两个预防措施。执行Apache URL重写,并检查代码以确保会话是加密的-检查HTTP标头。
发布于 2008-09-10 18:54:02
如果你运行的是Apache,你可以在你的.htaccess
中放一个RewriteRule
,如下所示:
RewriteCond %{HTTPS} "off"
RewriteRule /mypage.html https://example.com/mypage.html
发布于 2008-09-10 18:52:01
看看这个:http://www.dotnetmonster.com/Uwe/Forum.aspx/asp-net/75369/Enforcing-https
编辑:这从IIS的角度显示了解决方案,但您应该能够为此配置任何web服务器。
https://stackoverflow.com/questions/55010
复制相似问题