Какой простой / простой способ обеспечить безопасность страницы?

Question

Предположим, у вас есть форма, которая собирает и отправляет конфиденциальную информацию, и вы хотите, чтобы к ней никогда не обращались через небезопасные (не HTTPS) средства, как вы могли бы лучше всего обеспечить соблюдение этой политики?

Answer 1

Если вы работаете с Apache, вы можете вставить RewriteRule в .htaccess, например:

RewriteCond %{HTTPS} "off"
RewriteRule /mypage.html https://example.com/mypage.html

Answer 2

Я думаю, что наиболее пуленепробиваемое решение - хранить код только в корне вашего документа SSL. Это гарантирует, что вы (или другой разработчик в будущем) не сможете случайно связаться с небезопасной версией формы. Если у вас есть форма как для HTTP, так и для HTTPS, вы можете даже не заметить, что неправильно использовалась неправильная форма.

Если это не выполнимо, то я бы принял по крайней мере две меры предосторожности. Перепишите URL-адрес Apache и проверьте код в коде, чтобы убедиться, что сеанс зашифрован - проверьте заголовки HTTP.

Answer 3

Я бы посоветовал просмотреть запрос в коде, который отображает форму, и, если он не использует SSL, выполнить перенаправление на URL-адрес https.

Вы также можете использовать правило перезаписи в Apache для перенаправления пользователя.

Или вы можете просто не обслуживать страницу по HTTP и хранить ее только в корне документа вашего сайта HTTPS.

Answer 4

в IIS? Зайдите в настройки безопасности и нажмите «Требовать защищенное соединение». Кроме того, вы можете проверить переменные сервера при загрузке страницы и перенаправить на защищенную страницу.

Answer 5

Взгляните на это: http://www.dotnetmonster.com/Uwe/Forum.aspx/asp-net/75369/Enforcing-https

Изменить: Здесь показаны решения с точки зрения IIS, но вы должны иметь возможность настроить для этого любой веб-сервер.