仅保护站点的Login.aspx 是否可以在IIS中仅保护Login.aspx页面（和回发），而不保护整个站点我们正在寻找一个专门针对我们的Active Directory运行基于表单的身份验证的SharePoint网站来实现这一点链接到这将是有益的_Sharepoint_Iis_Ssl_Login_Security

仅保护站点的Login.aspx 是否可以在IIS中仅保护Login.aspx页面（和回发），而不保护整个站点我们正在寻找一个专门针对我们的Active Directory运行基于表单的身份验证的SharePoint网站来实现这一点链接到这将是有益的

sharepoint iis ssl login security

仅保护站点的Login.aspx 是否可以在IIS中仅保护Login.aspx页面（和回发），而不保护整个站点我们正在寻找一个专门针对我们的Active Directory运行基于表单的身份验证的SharePoint网站来实现这一点链接到这将是有益的,sharepoint,iis,ssl,login,security,Sharepoint,Iis,Ssl,Login,Security,这就是我们迄今为止所做的： 1.将SharePoint设置为针对广告使用FBA。 2.将登录页面移动到Secure/Login.aspx 3.在web.config中将适当的登录url设置为https://..../Secure/Login.aspx 这不起作用，需要帮助。然而，即使这样做有效，我们如何让用户从https返回http？没有太多的意义。如果唯一加密的是Login.aspx页面，这意味着有人可以嗅探所有未通过登录页面发送的流量这可能会阻止人们获取user:pass，但您的所有其他

这就是我们迄今为止所做的：
1.将SharePoint设置为针对广告使用FBA。
2.将登录页面移动到Secure/Login.aspx
3.在web.config中将适当的登录url设置为

https://..../Secure/Login.aspx

这不起作用，需要帮助。

然而，即使这样做有效，我们如何让用户从https返回http？

没有太多的意义。如果唯一加密的是Login.aspx页面，这意味着有人可以嗅探所有未通过登录页面发送的流量

这可能会阻止人们获取user:pass，但您的所有其他数据都会被公开。

除了公开的所有数据和可以在路由过程中更改的用户操作之外，用户的会话id（或其他身份验证数据）会以明文形式发送。这意味着攻击者可以窃取您的cookie（…）并在系统中模拟您，即使没有获得您的密码。（如果我没记错的话，SPSv.3还支持内置密码更改模块…

所以我想说这不是一个好主意，除非你不太关心这个系统。。。。但是，为什么还要麻烦验证呢？让它匿名？

我同意AviD和Dan Williams的观点，即只保护登录页面不是一个好主意，因为它会在离开密码页面后暴露其他数据。但是，您可以通过IIS管理器仅对login.aspx页面要求SSL。如果您导航到IIS管理器中的login.aspx页面（我相信它在

/\u layouts

下），您可以右键单击单个文件并选择

属性

。从那里，转到

文件安全

选项卡，然后单击

安全通信

下的

编辑…

按钮。在那里，您可以选中

requiresecurechannel（SSL）

框，该页面只需要SSL

我对从那里让用户返回http不是很肯定，但我相信它的默认行为是在登录成功时将您发送到请求的页面。如果没有，我认为您可以自定义成功登录时登录页面发送给您的位置。

那么，您正在寻找一种方法，让用户点击SharePoint，然后通过网络表单登录？根据他们的登录，他们会在SharePoint中看到不同的内容吗？我说的对吗？不，我们已经在做了。我们的Squid反向代理与NTLM有问题，Kerberos不是一个选项。您好，感谢您的回复。我们不希望数据受到保护。我们只需要保护用户凭据，因为它们是AD凭据。不，我们已经禁用了更改密码功能。因此，只有在系统不敏感的情况下，才应该可以，但是，为什么还要麻烦验证呢？