我们正在部署一个MVC2网站到生产,并希望限制SSL的login和主页(主页也有一个login框)。 这是Url Rewrite的工作吗?
是的,url重写对此很有帮助。
IIS本身使SSL成为您的一个select,但是您需要指出用户使用https并在您的HTML /站点中重新使用。 然后,URL Rewrite可以作为一个很好的保护层,以防止任何人手动对页面进行书签或键入,或者如果您错过了HTML中的某些内容。
在URL重写中,使用{HTTPS} =closures和{URL}检查页面是否需要redirect到https。
从您的应用程序代码可能会更容易做到这一点。 最多两三行redirect到https:// {url}?{querystring}
我认为这可能是一个坏主意,除非在非常特殊的用例。 据推测,在用户login之后,你会传递一个会话cookie。不encryption,这个cookie在公共networking上非常容易被嗅探出来并用来劫持会话,因为FireSheep现在可能已经被大多数开发者所证实 。
如果你是认真的保护你的用户的login,那么你需要保护会话cookie,而不仅仅是他们的密码。