使用 HTTPS 部署 asp.net MVC 1.0 应用程序

Question

我们有一个基于 ASP.NET MVC 1.0 构建的应用程序，部署后，应该使用 HTTPS 进行访问。我尝试了几种 HTTPS 方法，但有几个问题：

1. 我的主页不需要受到保护 (HTTPS)，但它后面的其余超链接将受到保护。

2. 我读到了有关操作方法属性 [requiresHTTPS] 的信息，但是我想了解在本地计算机上开发期间该标记会发生什么情况。

3. 在开发环境中，如何在开发计算机/虚拟目录上安装证书来编码和测试我的更改。

---

所以这个应用程序本质上很复杂，我们有大约 13 个控制器和 50 个操作方法。该应用程序将包含信用卡号等信息，因为我们接受通过该网站付款。

非常感谢！

Answer 1

如果只是应用程序中的几个静态页面不需要保护，我强烈建议通过在 IIS 中配置两个不同的站点（一个用于实际的站点）来简单地要求 SSL 来实现一切。页面仅在端口 443 上，一个页面在端口 80 上并具有永久重定向。

优点：

• 您的应用程序和代码不必了解有关 SSL 的任何信息，并且您的开发计算机上不需要 SSL 证书。网络服务器会为您完成这一切。
• 没有 cookie 和 HTTP 缓存会干扰 HTTP/HTTPS 触发器
• 如果安全/隐私很重要，那么对所有页面都要求 SSL 是最好的解决方案。

关于可能的缺点：与应用程序的其余部分相比，通过 SSL 对静态资源提供一些请求可能几乎没有开销。