Dev*_*per 1 .net asp.net-mvc ssl https controller
我不需要将整个网站放在SSL(https://)下, 而只需要支付控制器.
是否可以[RequireHttps]仅用于该控制器,还是应该应用于每个控制器?
谢谢!
这取决于你的意思"好".如果您有敏感的东西,那么您真的应该将SSL应用于整个站点,否则其中一个关键因素,即身份验证cookie,可能会被劫持并使您的SSL毫无意义.
我的一般经验法则是,如果站点的一部分需要SSL,那么整个站点应该是SSL.我甚至不确定你为什么认为这是一个问题.SSL确实需要更多的资源,但这只是您第一次连接时,之后没有明显的SSL开销.
见http://blogs.msdn.com/b/rickandy/archive/2011/05/02/securing-your-asp-net-mvc-3-application.aspx
许多网站通过SSL登录并在您登录后重定向回HTTP,这绝对是错误的做法.您的登录cookie与您的用户名+密码一样秘密,现在您通过网络以明文形式发送它.此外,在运行MVC管道之前,您已经花时间执行握手并保护通道(这是使HTTPS比HTTP慢的大部分),因此在您登录后重定向回到HTTP赢了t使当前请求或将来的请求更快.
| 归档时间: |
|
| 查看次数: |
1830 次 |
| 最近记录: |