ASP.NET에서 사이트 전체에 HTTPS 적용
배경: 몇 달 전에 사이트가 구현되었습니다. 모든 요청은 HTTPS를 통해 이루어져야 했습니다. 당시 실행 가능한 유일한 솔루션은 페이지 로드 이벤트 중에 요청을 확인하고 필요한 경우 HTTPS로 리디렉션하는 것이었습니다.
대체 솔루션:
보다 강력한 접근 방식은 다음과 같습니다. HTTP Strict Transport Security(HSTS)를 활용합니다. HSTS를 구현하면 안전하지 않은 HTTP 요청을 방지하고 지정된 기간 동안 HTTPS 연결을 적용할 수 있습니다.
Web.config 구성:
ASP.NET에서 HSTS를 구성하려면,
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>Global.asax.cs 코드(대체 방법):
HSTS가 권장되는 접근 방식이지만 대체 솔루션 다음 코드를 Application_BeginRequest 이벤트에 추가하는 작업이 포함됩니다. Global.asax.cs:
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}비교:
HSTS를 사용하면 브라우저 수준에서 HTTPS 연결을 보호할 수 있다는 이점이 있는 반면, Global.asax.cs는 ASP.NET 애플리케이션 내에서만 리디렉션을 처리합니다. 따라서 HSTS는 더욱 포괄적이고 권장되는 솔루션입니다.
위 내용은 ASP.NET에서 사이트 전체에 HTTPS를 안전하게 적용하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
