我们的应用程序目前有一个HTTPredirect到HTTPS。 现在我们想要彻底删除这个HTTP绑定,因为安全的原因,并且我们的用户只能通过在IIS中configuration“Require SSL”来使用HTTPS。
问题是我们仍然有大约10%的用户使用这个HTTPredirect页面,所以我们不能只closuresHTTPredirect。 很多用户最终可能会打电话给帮助台。
现在一个想法是,在第一个版本中有HTTPredirect页面链接到一个新的页面,其中包含新链接的信息使用。 在下一个版本中,我们可以打开完整的“需要SSL”。
这个解决scheme似乎没有问题,但将HTTPredirect到信息页面并同时需要SSL会更好。 这可能吗?
有关这个问题的任何其他build议也是非常受欢迎的。 谢谢。
如果您打开需要SSL,则HTTP请求将立即失败。
我们之前使用过的一个技巧(使用ASP.NET)是在默认页面上检查协议,然后发出一个友好的警告,例如
If Not Request.IsSecureConnection Then loginform.visible = False ltl_warning.Text = "Non-secure connections will be disabled in one month, please use the secure address only: https://mysite.com" End If 可以通过将403.htm页面replace为以下来要求SSL和redirect:
<html> <head><title>Redirecting...</title></head> <script language="JavaScript"> function redirectHttpToHttps() { var httpURL= window.location.hostname + window.location.pathname + window.location.search; var httpsURL= "https://" + httpURL; window.location = httpsURL; } redirectHttpToHttps(); </script> <body> </body> </html>
不知道这个解决scheme是否考虑到我们试图通过redirect来解决的安全问题。