развертывание приложения asp.net MVC 1.0 с HTTPS

Question

У нас есть приложение, построенное на ASP.NET MVC 1.0, которое после развертывания должно быть доступно по HTTPS.Я пробовал несколько подходов для HTTPS, но у меня есть несколько вопросов.:

1. Моя домашняя страница не должна быть защищенной (HTTPS), но остальные гиперссылки, следующие за ней, будут защищены.

2. Я читал об атрибуте метода действия [requireHTTPS], однако я хочу понять, что происходит с этим тегом во время разработки на локальной машине.

3. В среде разработки, как мне установить сертификат в виртуальной директории / машине разработчика для кодирования и тестирования моих изменений.

---

Так что это приложение сложное по своей природе, и у нас есть около 13 контроллеров и 50 методов действий.Это приложение будет иметь такую ​​информацию, как номера кредитных карт, поскольку мы принимаем оплату через этот веб-сайт.

Большое спасибо!

Answer 1

Если требуется защитить лишь несколько статических страниц вашего приложения, я настоятельно рекомендую просто требовать SSL для всего , настроив два разных сайта в IIS, один для фактическая страница только на порту 443, одна на порту 80 с постоянным перенаправлением.

Преимущества:

• Ваше приложение и код не должны ничего знать о SSL, и вам не нужен сертификат SSL на вашем компьютере разработчика. Веб-сервер делает все это за вас.
• Нет файлов cookie и HTTP-кеширования с помощью триггера HTTP / HTTPS
• Если безопасность / конфиденциальность имеют значение, в любом случае, это лучшее решение, требующее SSL для всех страниц.

Относительно возможного недостатка: обслуживание нескольких запросов к статическим ресурсам через SSL, вероятно, почти не потребует дополнительных затрат по сравнению с остальной частью вашего приложения.