【问题标题】:ASP.NET MVC: Returning unsecured response to submitted https form on unsecured pageASP.NET MVC:在不安全的页面上返回对提交的 https 表单的不安全响应
【发布时间】:2009-10-22 21:33:36
【问题描述】:

我在不安全 (http) 页面中有一个安全表单(属性操作 =“https://...”)。目的是安全地传输数据,同时避免由于我的页面上不安全的 Google 地图元素而导致的混合内容警告(“某些项目不安全”)。

当表单发布并成功时,一切都很好。但是,如果表单失败,我的用户最终会出现在同一页面上,但现在整个事情都是安全的(并生成混合内容警告)。

如何接受来自表单的安全输入,并在表单提交失败时仍发回相同的不安全页面?

【问题讨论】:

    标签: asp.net-mvc forms ssl https


    【解决方案1】:

    在 HTTP 页面中呈现表单,即使该表单指向 HTTPS URL,也违背了 SSL 的目的。如果您的表单指向 HTTPS,则只能通过 HTTPS 提供。同样,如果它是通过 HTTP 提供的,它应该只指向 HTTP。请参阅this blog 了解更多信息。

    此外,这些“混合内容警告”错误试图防止 SSL 的额外滥用,因为您正在通过未加密的通道访问不受您控制的资源。一旦 SSL 以这种方式被破解,攻击者就有可能将自己的 Javascript 注入响应中,那么您的页面经过 SSL 加密这一事实就毫无用处了。

    简而言之,确认使用 SSL 是对您的应用程序的严格要求,如果不是,则将其删除。您今天的应用程序配置相当于通过 HTTP 提供所有服务的安全性。如果这是不可接受的,请划分您的站点,以使您的站点中引用 Google 地图的部分与您的站点中处理安全交易的部分不同。

    【讨论】:

    • 因此,如果您没有查看安全提供的内容,您就无法确定您的提交内容是否安全并会发送到正确的位置。很有帮助,谢谢!
    猜你喜欢
    • 2013-07-13
    • 1970-01-01
    • 1970-01-01
    • 2013-11-23
    • 1970-01-01
    • 2010-12-26
    • 1970-01-01
    • 2015-12-04
    • 2019-06-26
    相关资源
    最近更新 更多