asp.net core kestrel 是否需要在生产中在 https 上运行？

Question

我可能计划在 apache 反向代理后面的 linux 上运行 asp.net core。

运行 asp.net core 时需要在 https 上运行吗？

我可以如下设置 apache https 指令 - 当我从浏览器访问它时它工作正常。

ProxyPass / http://127.0.0.1:5000/
ProxyPassReverse / http://127.0.0.1:5000/
ServerName app.domain.com
ServerAlias *.app.domain.com
ErrorLog ${APACHE_LOG_DIR}helloapp-error.log
CustomLog ${APACHE_LOG_DIR}helloapp-access.log common

这有什么问题吗？

Answer 1

在我看来，如果你在 apache 上启用了 https 并且只在 apache 和 kestrel 服务器之间使用 http 重定向，你可以使用 http。像这样：

浏览器 --->https ---> Apache --> http ---> kestrel。

这不会导致安全问题。 HTTPS 有助于防止入侵者篡改您的网站和用户浏览器之间的通信。因为如果有人入侵您的服务器以捕获 http 请求，他也可以获取您服务器的所有信息。