Fatal编程技术网

C# HSTS实现

c# asp.net-mvc

C# HSTS实现,c#,asp.net-mvc,C#,Asp.net Mvc,我想在我的网站上实现HST,我确实有一些页面作为HTTPS服务器,一些页面根据要求作为HTTP服务器。 我已经给出了只为HTTPS页面而不是HTTP页面添加HST的条件 if (HttpContext.Current.Request.Url.Scheme.ToLower() == "https") { response.Headers.Add("Strict-Transport-Security", "max-age=31536000;includeSubDomains

我想在我的网站上实现HST,我确实有一些页面作为HTTPS服务器,一些页面根据要求作为HTTP服务器。 我已经给出了只为HTTPS页面而不是HTTP页面添加HST的条件

if (HttpContext.Current.Request.Url.Scheme.ToLower() == "https")
{
    response.Headers.Add("Strict-Transport-Security", 
        "max-age=31536000;includeSubDomains; preload");
}
它说我添加此代码后重定向太多

请告诉我如何实现HSTS,其中有些页面使用HTTPS,有些页面使用HTTP。

如果您希望在同一域中的某些页面没有HTTPS,我认为您不能使用HSTS。HSTS指示客户端(浏览器)仅通过https访问服务器

更多信息可以在维基百科上找到

当web应用程序向用户代理发布HSTS策略时,符合 用户代理的行为如下(RFC 6797):[10]

  • 自动关闭引用web应用程序的任何不安全链接 进入安全链接。(例如,威尔 在访问之前将修改为 服务器。)
  • 如果无法确保连接的安全性(例如 服务器的TLS证书不受信任),用户代理必须 终止连接(RFC 6797第8.4节,安全中的错误 交通设施),不应允许用户访问 web应用程序(第12.1节,无用户追索权)
    • 我不认为你可以使用HSTS,如果你想让一些页面在同一个域上没有https。HSTS指示客户端(浏览器)仅通过https访问服务器

    更多信息可以在维基百科上找到

    当web应用程序向用户代理发布HSTS策略时,符合 用户代理的行为如下(RFC 6797):[10]

  • 自动关闭引用web应用程序的任何不安全链接 进入安全链接。(例如,威尔 在访问之前将修改为 服务器。)
  • 如果无法确保连接的安全性(例如 服务器的TLS证书不受信任),用户代理必须 终止连接(RFC 6797第8.4节,安全中的错误 交通设施),不应允许用户访问 web应用程序(第12.1节,无用户追索权)
    • 这就是为什么你最有可能看到它周围的行为和策略。是的,我已经看到这个网站,并试图实现相同的。它的行为与太多重定向相同。由于http页面的原因,我确实有一些问题。下面介绍了为什么您最有可能看到它周围的行为和策略。是的,我已经看到这个网站,并试图实现相同的。它的行为与太多重定向相同。由于http页面,我确实有一些问题。非常感谢您提供的信息。我会看看我是否可以在我的网站上的所有网页https。非常感谢您的信息。我将看看我是否可以使我的网站上的所有网页的https。