ColdFusion 9和IIS服务器加密

我们有一个ColdFusion开发人员，他声称只要在他想要加密的应用程序的Application.cfm文件中添加几行代码，他就可以强制IIS Web服务器加密涉及该应用程序的所有通信。例如，让我们假设此开发人员的ColdFusion应用程序位于www.ThisIsIt.com/xyz/。他在Application.cfm文件（见下文）中包含一条条件语句，以强制Web浏览器在其应用程序的URL前面添加https

<CFIF not cgi.server_port_secure> 
  <CFLOCATION URL="https://#cgi.server_name##cgi.script_name#" ADDTOKEN="no"/> 
</CFIF>

---

同时，在Internet信息服务（IIS）管理器中，xyz目录未设置为需要SSL。如果您访问，它实际上将以https开头，但是如果IIS Web服务器未被指示/配置为加密xyz目录，那么如何加密其应用程序的内容以及服务器和客户端Web浏览器之间的通信，以及为什么Web浏览器指示加密通信？这是加密ColdFusion应用程序的简单伎俩还是合法手段？

基于应用程序的规则通过检测未使用SSL并将用户重定向到安全的HTTPS域来工作。需要配置有效的SSL证书，否则将显示安全消息

此方法仅强制对ColdFusion脚本进行HTTPS访问。静态、非CFML文件，如CSS、JS、PDF（不关心application.cfm脚本的存在）可以直接访问，而无需任何HTTPS重定向

使用IIS对所有web请求“强制”SSL的最佳方法是使用web.config规则