ASP.net SSL问题
如果我将登录用户重定向到我网站上的非SSL页面:ASP.net SSL问题,asp.net,ssl,Asp.net,Ssl,如果我将登录用户重定向到我网站上的非SSL页面: Response.Redirect("http://www.mysite.com/page.aspx"); 但母版页有以下代码: if (IsLoggedIn) ForceSSL(); 将用户重定向到: Response.Redirect("https://www.mysite.com/page.aspx"); 在重定向和第二次重定向之间,是否有任何不安全的数据从客户端传输到服务器?的初始请求将发送与域相关的任何cookie,但如果
Response.Redirect("http://www.mysite.com/page.aspx");
但母版页有以下代码:
if (IsLoggedIn)
ForceSSL();
将用户重定向到:
Response.Redirect("https://www.mysite.com/page.aspx");
在重定向和第二次重定向之间,是否有任何不安全的数据从客户端传输到服务器?的初始请求将发送与域相关的任何cookie,但如果您在服务器上进行所有通信,则不应发送任何cookie
(假设您的cookie设置为仅安全)
编辑:
错过了关于登录的部分。。。如果站点使用的是标准表单身份验证,您可能希望在web.config中执行类似的操作,它应该为您解决这一问题(requireSSL):
编辑#2:
我很好奇,您是否可以在站点级别对所有cookie强制执行此操作(无需表单身份验证),看起来您可以通过将其添加到配置文件:
<httpCookies domain="String" requireSSL="true" />
对的初始请求将发送与域关联的任何cookie,但如果您在上进行所有通信,则不应发送任何cookie
(假设您的cookie设置为仅安全)
编辑:
错过了关于登录的部分。。。如果站点使用的是标准表单身份验证,您可能希望在web.config中执行类似的操作,它应该为您解决这一问题(requireSSL):
编辑#2:
我很好奇,您是否可以在站点级别对所有cookie强制执行此操作(无需表单身份验证),看起来您可以通过将其添加到配置文件:
<httpCookies domain="String" requireSSL="true" />
视情况而定:)
如果假定母版页中的代码位于页面_load中,那么不:)您正在处理服务器端的所有内容。在请求完成之前,不会向客户端发送任何数据。重定向以一种特别恶劣的方式终止响应(threadAbort)并启动一个新的响应。
但是正如John所提到的,cookies可能会被发送出去,这要看情况而定:)
如果假定母版页中的代码位于页面_load中,那么不:)您正在处理服务器端的所有内容。在请求完成之前,不会向客户端发送任何数据。重定向以一种特别恶劣的方式终止响应(threadAbort)并启动一个新的响应。
但是正如约翰提到的,饼干可能会被发送出去