MVC RequireHttps и перенаправить, если не https

Question

Я прочитал много вопросов на ASP.NET MVC [RequireHttps] - но не могу найти ответ на этот вопрос:

Как сделать так, чтобы атрибут [RequireHttps] переключал URL?в https, если это не https для начала?

У меня есть этот код:

public ActionResult DoSomething()
{
    return View("AnotherAction");
}

[RequireHttps]
public ActionResult AnotherAction()
{
    return View();
}

Но я получаю сообщение об ошибке: «Запрошенный ресурс может быть доступен только через SSL».

Проект фьючерсов MVC имеет аналогичный атрибут [RequireSsl(Redirect = true)].Но это уже устарело ... Что эквивалентно в MVC 2?

Когда кто-то вводит URL http://example.com/home/dosomething ИЛИ URL http://example.com/home/anotheraction, Мне нужно, чтобы они были автоматически перенаправленына URL http s : //example.com/home/anotheraction

РЕДАКТИРОВАТЬ это последовательность событий:

URL http://example.com/home/dosomethingпозвонил с другого сайта.Они перенаправляют своих пользователей на этот URL (с response.redirect или подобным).

DoSomething() затем пытается вернуть AnotherAction(), но завершается неудачно с сообщением об ошибке «Запрошенный ресурс доступен только через SSL.»

Answer 1

Атрибут RequiresHttps автоматически пытается перенаправить на https://your-url.Я проверил это поведение на моем сайте, который использует этот атрибут, а также посмотрел код в Reflector:

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    if (!string.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
    {
        throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
    }
    string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
    filterContext.Result = new RedirectResult(url);
}

Вы уверены, что ваш сайт настроен для принятия безопасных соединений?Что произойдет, если вы попытаетесь перейти к https://your-url напрямую?

Answer 2

[mvc 4] краткий ответ:

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection)
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

более длинный ответ:
для перехода с http на https вы не можете отправить перенаправление на https после первого пакета,
для этого вам нужно перехватить пакет, используя Application_BeginRequest,
из Global.asax добавьте функцию и она заменит значение по умолчанию,
код должен быть примерно таким (Global.asax на уровне класса):

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection && 
      !Request.Url.Host.Contains("localhost") && 
      Request.Url.AbsolutePath.Contains("SGAccount/Login"))
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

Я настоятельно рекомендую устанавливать точки останова и проверять объект Request.Url на предмет необходимости, связанной с URL.
или посетите страницу msdn , озадаченную запросом.url absoluteuri vs originalstring?
так что я могу пойти к dotnetperls для примеров.
эта функция позволяет вам разрабатывать на локальном хосте и развертывать ваш код как есть.
теперь для каждой страницы, которую вы хотите сделать перенаправлением https, вам нужно указать это в условии if.
для перехода с https на http вы можете использовать обычную Response.Redirect, например:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}", Request.Url.Authority), true);
}

обратите внимание, это также поддерживает работу с тем же кодом при разработке на локальном хосте, не прерывая первоначальный ход вещей до добавления https.

также я рекомендую подумать о реализации некоторого соглашения об обратном URL (если оно еще не реализовано), в этом случае вы должны сделать что-то вроде этого:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}{1}", Request.Url.Authority, returnUrl), true);
}

это перенаправит на запрошенную страницу после входа в систему.

естественно, вы должны защищать каждую страницу, на которой отображаются пользовательские данные, регистрация, логин и многое другое.

Answer 3

Http HEAD запросы не перенаправляются.Просматривая наши журналы ошибок, мы видим много этого сообщения, которое гуглится здесь, но после более подробного изучения у них есть несколько интересных «особенностей»

• Request_method: HEAD
• Пользовательский агент: curl / 7.35.0

Другими словами, все неудачные попытки не были направлены на клиента ...

(100% скидка на комментарий от@ arserbin3 за то, что я понял, что это были все HEAD запросов)

Answer 4

MVC4 теперь перенаправляет

но не так, как вы ожидаете.

http://www.example.com:8080/alpha/bravo/charlie?q=quux будет перенаправлять браузер клиента на https://www.example.com/alpha/bravo/charlie?q=quux

Обратите внимание на отсутствие номера порта.

http://aspnetwebstack.codeplex.com/SourceControl/latest#test/System.Web.Mvc.Test/Test/RequireHttpsAttributeTest.cs тест кода [Факт] public void OnAuthorizationRedirectsIfRequestIsNotSecureAndMethodIsGet ()

подтверждает, что это желаемое поведение.

Если вы хотите написать собственный атрибут, который включает в себя ПОРТ ... вы можете основывать свой код на:

http://aspnetwebstack.codeplex.com/SourceControl/latest#src/System.Web.Mvc/RequireHttpsAttribute.cs

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
        : this(permanent: false)
    {
    }

    /// <summary>
    /// Initializes a new instance of the <see cref="RequireHttpsAttribute"/> class.
    /// </summary>
    /// <param name="permanent">Whether the redirect to HTTPS should be a permanent redirect.</param>
    public RequireHttpsAttribute(bool permanent)
    {
        this.Permanent = permanent;
    }

    /// <summary>
    /// Gets a value indicating whether the redirect to HTTPS should be a permanent redirect.
    /// </summary>
    public bool Permanent { get; private set; }

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        if (!filterContext.HttpContext.Request.IsSecureConnection)
        {
            HandleNonHttpsRequest(filterContext);
        }
    }

    protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url, this.Permanent);
    }
}

Answer 5

В дополнение к уже предоставленному ответу, это код из реализации HandleNonHttpsRequest MVC 5

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    // only redirect for GET requests, otherwise the browser might not propagate the verb and request
    // body correctly.
    ...
}