ASP.net SSL вопрос

Question

Если я перенаправлю зарегистрированного пользователя на страницу без SSL на моем веб-сайте:

Response.Redirect("http://www.mysite.com/page.aspx");

Но на главной странице есть код:

if (IsLoggedIn)
    ForceSSL();

Который перенаправляет пользователя на:

Response.Redirect("https://www.mysite.com/page.aspx");

Между перенаправлением, а затем вторым перенаправлением, есть ли какие-либо незащищенные данные, передаваемые с клиента на сервер?

Answer 1

Первоначальный запрос к http://www.mysite.com отправит все файлы cookie, связанные с доменом, но их не должно быть, если вы используете весь свой трафик на https://www.mysite.com

(при условии, что ваши файлы cookie настроены только как безопасные)

Edit:

Пропущена часть, касающаяся входа в систему ... если сайт использует стандартную проверку подлинности с помощью форм, вы должны сделать что-то подобное в web.config, и он должен позаботиться об этом за вас (requireSSL):

<authentication mode="Forms">
  <forms loginUrl="Login.aspx" timeout="15" slidingExpiration="true" requireSSL="true"/>
</authentication>

Редактировать # 2:

Мне было бы любопытно, если бы вы могли принудительно установить это на уровне сайта для всех файлов cookie (без проверки подлинности с помощью форм), и, похоже, вы можете добавить это в файл конфигурации:

<httpCookies domain="String" requireSSL="true" />

Answer 2

Это зависит :) Если предположить, что код на главной странице находится в Page_load, то нет :) Вы работаете со всеми на стороне сервераДанные не отправляются клиенту, пока запрос не будет завершен.И Response.Redirect завершает ответ особенно противным способом (threadAbort) и инициирует новый.Но, как сказал Джон, куки могут быть отправлены