Я использую модуль перезаписи IIS 7, чтобы перенаправить страницу для использования https при обнаружении http.
Возможно ли, что модуль перезаписи можно обойти? Было бы излишним также вставлять проверку https в коде page_load?
Если вы хотите использовать SSL, лучший способ сделать это - использовать только порт 443. Если вам нужен только SSL на некоторых страницах вашего сайта, я рекомендую переместить эти файлы в специальное веб-приложение или виртуальный каталог.Делая это, вы можете установить SSL-соединение для этих файлов, не беспокоясь о правилах перезаписи.Вы можете проверить, как это сделать, здесь: http://learn.iis.net/page.aspx/144/how-to-set-up-ssl-on-iis-7/
Разрешение подключений HTTP и HTTPS к одному и тому же ресурсу можно использовать для выполнения атаки кражи файлов cookie, если файлы cookie приложения не используют " Secure"атрибут.