Was ist eine saubere/einfache Möglichkeit, die Sicherheit einer Seite zu gewährleisten?
https://stackoverflow.com/questions/55010
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Angenommen, Sie verfügen über ein Formular, das vertrauliche Informationen sammelt und übermittelt, und Sie möchten sicherstellen, dass niemals über unsichere Mittel (nicht HTTPS) darauf zugegriffen wird. Wie können Sie diese Richtlinie am besten durchsetzen?
Lösung
Ich denke, die meisten kugelsichere Lösung ist nur den Code in Ihrem SSL-Document-Root zu halten. Dadurch wird sichergestellt, dass Sie (oder ein anderer Entwickler in der Zukunft) versehentlich nicht auf eine nicht sichere Version des Formulars verbinden. Wenn Sie das Formular sowohl HTTP und HTTPS haben, können Sie nicht einmal bemerken, wenn der falsche versehentlich verwendet wird.
Wenn dies nicht machbar ist, dann würde ich mindestens zwei Vorsichtsmaßnahmen treffen. Haben die Apache URL-Rewriting und haben einen Scheck in Ihrem Code um sicherzustellen, dass die Sitzung verschlüsselt ist. - Überprüfen Sie die HTTP-Header
Andere Tipps
Wenn Sie Apache laufen lassen, Sie RewriteRule in Ihrem .htaccess setzen können, etwa so:
RewriteCond %{HTTPS} "off"
RewriteRule /mypage.html https://example.com/mypage.html
Werfen Sie einen Blick auf diese: http: / /www.dotnetmonster.com/Uwe/Forum.aspx/asp-net/75369/Enforcing-https
Edit:. Dies zeigt Lösungen aus einer IIS-Sicht, aber Sie sollten über einen beliebigen Web-Server für diese konfigurieren können,
In IIS? Zum Sicherheitseinstellungen und klicken Sie auf „erfordern eine sichere Verbindung“. Alternativ können Sie die Servervariablen in Laden der Seite überprüfen und auf die sichere Seite umgeleitet werden.
Ich würde vorschlagen, auf Antrag im Code suchen, der die Form macht, und wenn es nicht die Verwendung von SSL ist, eine Umleitung auf die https-URL ausgeben.
Sie können auch eine rewite Regel in Apache verwenden könnte der Benutzer umgeleitet werden.
Oder könnten Sie einfach nicht die Seite über HTTP dienen nach oben, und halten Sie sie nur in dem Dokument Wurzel Ihrer HTTPS-Site.
