MVC RequireHttps и перенаправление, если не https

Я прочитал многие вопросы по ASP.NET MVC [RequireHttps] - но не могу найти ответ на этот вопрос:

Как вы примените атрибут [RequireHttps] для URL-адреса URL-адреса https, если он не начинал с https?

У меня есть этот код:

public ActionResult DoSomething()
{
    return View("AnotherAction");
}

[RequireHttps]
public ActionResult AnotherAction()
{
    return View();
}

Но я получаю сообщение об ошибке: "Запрошенный ресурс можно получить только через SSL".

Проект фьючерсов MVC имеет аналогичный атрибут [RequireSsl(Redirect = true)]. Но это устарело сейчас... Что эквивалентно в MVC 2?

Когда кто-то печатает в URL http://example.com/home/dosomething ИЛИ url http://example.com/home/anotheraction, мне нужно, чтобы они автоматически перенаправлялись на URL http s://example.com/home/anotheraction

EDIT - это последовательность событий:

URL-адрес http://example.com/home/dosomething вызывается с другого веб-сайта. Они перенаправляют своих пользователей на этот URL-адрес (с помощью response.redirect или аналогичного).

DoSomething() затем пытается вернуть AnotherAction(), но с ошибкой появляется сообщение "Запрошенный ресурс может быть доступен только через SSL".

Ответы

Ответ 1

Атрибут RequiresHttps автоматически пытается перенаправить на https://your-url. Я проверил это поведение на сайте, который использует этот атрибут, а также просмотрел код в Reflector:

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    if (!string.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
    {
        throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
    }
    string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
    filterContext.Result = new RedirectResult(url);
}

Вы уверены, что ваш сайт настроен на принятие безопасных подключений? Что произойдет, если вы попытаетесь напрямую перейти на https://your-url?

Ответ 2

[mvc 4] короткий ответ:

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection)
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

более длинный ответ:
для перехода с http на https вы не можете отправить перенаправление на https после первого пакета,
поэтому вам нужно поймать пакет, используя Application_BeginRequest,
из Global.asax добавьте функцию, и она переопределит значение по умолчанию,
код должен быть примерно таким (Global.asax на уровне класса):

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection && 
      !Request.Url.Host.Contains("localhost") && 
      Request.Url.AbsolutePath.Contains("SGAccount/Login"))
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

Я настоятельно рекомендую положить контрольные точки и проверить объект Request.Url для любой связанной с URL.
или посетите страницу msdn, запутанную о request.url absoluteuri vs originalstring?
так что я могу перейти на dotnetperls для примера.
эта функция позволяет вам разрабатывать на локальном хосте и развертывать ваш код как есть.
теперь для каждой страницы, которую вы хотите сделать переадресацией https, вам нужно указать ее в условии if.
для перехода с https на http вы можете использовать регулярный Response.Redirect, например:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}", Request.Url.Authority), true);
}

Обратите внимание, что это также поддерживает работу над одним и тем же кодом при разработке на локальном хосте, не прерывая первоначальный ход вещей до добавления https.

Также я рекомендую подумать о реализации некоторого соглашения о возврате URL (если он еще не реализован), в этом случае вы должны пойти примерно так:

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}{1}", Request.Url.Authority, returnUrl), true);
}

это будет перенаправлено на запрашиваемую страницу.

естественно, вы должны защищать каждую страницу, на которой отображаются пользовательские данные, регистрация, логин и многое другое.

Ответ 3

MVC4 теперь перенаправляет

но не так, как вы ожидали.

http://www.example.com:8080/alpha/bravo/charlie?q=quux будет перенаправлять клиентский браузер на https://www.example.com/alpha/bravo/charlie?q=quux

Обратите внимание на отсутствие номера порта.

http://aspnetwebstack.codeplex.com/SourceControl/latest#test/System.Web.Mvc.Test/Test/RequireHttpsAttributeTest.cs проверка кода [Факт] public void OnAuthorizationRedirectsIfRequestIsNotSecureAndMethodIsGet()

подтверждает, что это желаемое поведение.

Если вы хотите написать настраиваемый атрибут, который включает в себя ПОРТ... вы можете создать свой код на:

http://aspnetwebstack.codeplex.com/SourceControl/latest#src/System.Web.Mvc/RequireHttpsAttribute.cs

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
        : this(permanent: false)
    {
    }

    /// <summary>
    /// Initializes a new instance of the <see cref="RequireHttpsAttribute"/> class.
    /// </summary>
    /// <param name="permanent">Whether the redirect to HTTPS should be a permanent redirect.</param>
    public RequireHttpsAttribute(bool permanent)
    {
        this.Permanent = permanent;
    }

    /// <summary>
    /// Gets a value indicating whether the redirect to HTTPS should be a permanent redirect.
    /// </summary>
    public bool Permanent { get; private set; }

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        if (!filterContext.HttpContext.Request.IsSecureConnection)
        {
            HandleNonHttpsRequest(filterContext);
        }
    }

    protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url, this.Permanent);
    }
}

Ответ 4

Запросы Http HEAD не отображаются перенаправленными. Когда мы просматриваем наши журналы ошибок, мы видим много этого сообщения, прибегая сюда, но, посмотрев подробности, у них есть несколько интересных "функций"

Request_method: HEAD
Пользовательский агент: curl/7.35.0

Другими словами, все неудавшиеся попытки не были обращены к клиенту...

(100% кредит на комментарий от @arserbin3 за то, что я понял, что все они HEAD)

Ответ 5

Чтобы дополнить уже указанный ответ, это код из реализации MVC 5 для HandleNonHttpsRequest

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    // only redirect for GET requests, otherwise the browser might not propagate the verb and request
    // body correctly.
    ...
}