我正准备SSL cert在我的主机上安装一个.
这是我的理解(并纠正我,如果我错了......):
一旦托管人员安装证书,我将能够浏览我的网站Http或Https(没有什么能阻止我继续使用Http)?
我唯一需要做的就是添加逻辑(在MVC的情况下,控制器属性/过滤器)来强制我选择的某些页面重定向到Https(例如,[RequiresHttps]谨慎地添加属性).
我是否必须担心做这些事情以确保我使用SSL得当?我不确定我是否需要改变与逻辑有关的东西:
饼干
PayPal Express集成
此外,我计划[RequiresHttps]仅添加购物车,结帐,登录,帐户和管理页面.我希望保留我的产品浏览/购物页面,Http因为我听说有更多的使用开销Https.这是正常/可接受/好吗?
还有一个问题......我知道ASP.NET以Auth cookie的形式存储一些登录信息.用户可以在Https页面中登录,但是可以返回并在Http页面中浏览吗?我想知道这是否会造成安全漏洞,因为用户已登录并Http再次浏览.这会破坏使用的重点SSL吗?
我在这方面有点新意......所以请帮助我们.
我有一个包含HTTP和HTTPS页面的站点.
我已尝试以下方法使Cookie安全:
<httpCookies requireSSL="true" />带有表单身份验证的Web.config .Application_End在这两种情况下,页面都不适用于HTTP.我认为上述解决方案仅在所有页面都使用HTTPS时才有效.
如何解决这个难题?