仅保护站点的Login.aspx

Question

1. 是否可以仅保护Login.aspx页面（和回发）而不保护IIS中的整个站点？
2. 我们希望针对Active Directory运行基于表单的身份验证的SharePoint站点专门执行此操作。
3. 链接到这将有所帮助。

这是我们迄今为止所做的：
1.设置SharePoint以对AD使用FBA。
2.将登录页面移动到Secure / Login.aspx
3.在web.config中将相应的登录URL设置为 https：//..../Secure/Login.aspx

这不起作用，这里需要帮助。 但是，即使这样可行，我们如何让用户从https？

返回http

Answer 1

没有太多意义。如果唯一加密的是Login.aspx页面，那就意味着有人可以嗅探未通过登录页面发送的所有流量。

这可能会阻止用户获取用户：传递，但所有其他数据都会被曝光。

Answer 2

除了暴露的所有数据以及可以在途中改变的用户操作之外，用户的会话ID（或其他认证数据）以明文形式发送。这意味着即使没有获取密码，攻击者也可以窃取您的cookie（...）并冒充您的身份。 （如果我没记错的话，SPSv.3也支持内置密码更改模块......）
所以我会说这不是一个好主意，除非你不关心那个系统。但是那么，为什么还要费心去做呢？只是让它匿名？

Answer 3

我同意AviD和Dan Williams的观点，即仅保护登录页面不是一个好主意，因为它在离开密码页面后会公开其他数据。但是，您可以通过IIS Manger仅对login.aspx页面要求SSL。如果您导航到IIS管理器中的login.aspx页面（我相信它位于 / _ layouts 下），您可以右键单击单个文件并选择 Properties 。从那里，转到 File Security 选项卡，然后单击 Secure communications 下的 Edit ... 按钮。在那里，您可以检查要求安全通道（SSL）框，仅该页面需要SSL。

我不赞成让用户从那里回到http，但我相信它的默认行为是在登录成功时将您发送到请求的页面。如果没有，我认为您可以自定义登录页面成功登录后的位置。