MVC RequireHttps，如果不是 https 则重定向

Question

我已经阅读了许多关于 ASP.NET MVC [RequireHttps] 的问题 - 但找不到这个问题的答案：

How do you make the [RequireHttps] > 如果不是 https 开头，属性会将 url 切换为 https？

我有这样的代码：

public ActionResult DoSomething()
{
    return View("AnotherAction");
}

[RequireHttps]
public ActionResult AnotherAction()
{
    return View();
}

但我收到一条错误消息：“请求的资源只能通过 SSL 访问。”

MVC futures 项目有一个类似的属性[RequireSsl(Redirect = true)]。但这现在已经过时了……MVC 2 中的等效项是什么？

当有人输入 URL http://example.com/home/dosomething 或 url http://example.com/home/anotheraction，我需要它们自动重定向到url http< strong>s://example.com/home/anotheraction

编辑这是事件的顺序：

URL http://example.com/home/dosomething 是从另一个网站调用的。他们将用户重定向到此网址（使用response.redirect 或类似内容）。

然后，DoSomething() 尝试返回 AnotherAction()，但失败并显示错误消息“请求的资源只能通过 SSL 访问”。

Answer 1

RequiresHttps 属性会自动尝试重定向到 https://your-url。我在使用该属性的网站上验证了此行为，并查看了 Reflector 中的代码：

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    if (!string.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
    {
        throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
    }
    string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
    filterContext.Result = new RedirectResult(url);
}

您确定已将网站设置为接受安全连接吗？如果您尝试直接浏览到 https://your-url 会发生什么？

Answer 2

[mvc 4] 简短回答：

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection)
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

较长回答：
要从 http 转移到 https，您无法在第一个数据包之后发送重定向到 https，
因此您需要使用 Application_BeginRequest 捕获数据包，
从 Global.asax 添加该函数，它将覆盖默认值，
代码应该是这样的（类级别上的 Global.asax）：

protected void Application_BeginRequest(Object source, EventArgs e)
{
  if (!Context.Request.IsSecureConnection && 
      !Request.Url.Host.Contains("localhost") && 
      Request.Url.AbsolutePath.Contains("SGAccount/Login"))
  {
      Response.Redirect(Request.Url.AbsoluteUri.Replace("http://", "https://"));
  }
}

我强烈建议设置断点并检查 Request.Url 对象是否有任何与 url 相关的需求。
或访问 msdn 页面 对 request.url Absoluteuri 与 OriginalString 感到困惑？
我也是，您可以访问 dotnetperls 获取示例。
此功能使您能够在本地主机上进行开发并按原样部署代码。
现在，对于您想要进行 https 重定向的每个页面，您需要在 if 条件中指定它。
要从 https 转移到 http，您可以使用常规 Response.Redirect，如下所示：

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}", Request.Url.Authority), true);
}

请注意，这也支持在本地主机上开发时使用相同的代码，而不中断添加 https 之前的原始过程。

另外，我建议考虑实现一些返回 url 约定（如果尚未实现），在这种情况下，您应该这样做：

if (Request.Url.Scheme.Contains("https"))
{
    Response.Redirect(string.Format("http://{0}{1}", Request.Url.Authority, returnUrl), true);
}

这将在登录后重定向到请求的页面。

当然，您应该保护显示用户数据、注册、登录等的每个页面。

Answer 3

Http HEAD 请求似乎没有被重定向。在查看我们的错误日志时，我们看到很多这样的消息，谷歌搜索到了这里，但是在详细查看了详细信息之后，他们有一些有趣的“功能”

• Request_method：HEAD
• User Agent：curl/7.35.0

In换句话说，所有失败的尝试都不是面向客户的......

（100％归功于@arserbin3的评论，让我意识到它们都是HEAD请求）

Answer 4

MVC4 现在可以重定向，

但不是您期望的那样。

http://www.example.com:8080/alpha/bravo/charlie ?q=quux
将把客户端的浏览器重定向到
https://www.example.com/alpha/bravo/charlie?q=quux

请注意缺少端口号。

http://aspnetwebstack.codeplex.com/SourceControl/latest#test/System.Web.Mvc.Test/Test/RequireHttpsAttributeTest.cs
代码测试
[事实]
public void OnAuthorizationRedirectsIfRequestIsNotSecureAndMethodIsGet()

确认这是所需的行为。

如果您想编写包含 PORT 的自定义属性...您可以将代码基于：

http://aspnetwebstack.codeplex.com/SourceControl/latest#src/System.Web.Mvc/RequireHttpsAttribute.cs

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class RequireHttpsAttribute : FilterAttribute, IAuthorizationFilter
{
    public RequireHttpsAttribute()
        : this(permanent: false)
    {
    }

    /// <summary>
    /// Initializes a new instance of the <see cref="RequireHttpsAttribute"/> class.
    /// </summary>
    /// <param name="permanent">Whether the redirect to HTTPS should be a permanent redirect.</param>
    public RequireHttpsAttribute(bool permanent)
    {
        this.Permanent = permanent;
    }

    /// <summary>
    /// Gets a value indicating whether the redirect to HTTPS should be a permanent redirect.
    /// </summary>
    public bool Permanent { get; private set; }

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        if (!filterContext.HttpContext.Request.IsSecureConnection)
        {
            HandleNonHttpsRequest(filterContext);
        }
    }

    protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
    {
        // only redirect for GET requests, otherwise the browser might not propagate the verb and request
        // body correctly.

        if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "GET", StringComparison.OrdinalIgnoreCase))
        {
            throw new InvalidOperationException(MvcResources.RequireHttpsAttribute_MustUseSsl);
        }

        // redirect to HTTPS version of page
        string url = "https://" + filterContext.HttpContext.Request.Url.Host + filterContext.HttpContext.Request.RawUrl;
        filterContext.Result = new RedirectResult(url, this.Permanent);
    }
}

Answer 5

为了补充已经给出的答案，这是来自 HandleNonHttpsRequest 的 MVC 5 实现的代码

protected virtual void HandleNonHttpsRequest(AuthorizationContext filterContext)
{
    // only redirect for GET requests, otherwise the browser might not propagate the verb and request
    // body correctly.
    ...
}