我可以通过 SSL 使用单独的 web.config 文件吗？

Question

首先我要说的是，我对 SSL 及其在 ASP.NET/WCF 中的工作原理不熟悉。

我有一个当前无需 SSL 即可访问的 Web 服务，我需要对其进行更改以接受通过 http 和 https 的流量。我的 web.config 引用使用 http 的第 3 方 URL。这些 URL 返回给客户端，然后通过 JavaScript 请求进行访问。如果使用 SSL 的网站使用 SSL 调用我的 Web 服务，我需要返回这些第三方 URL 的 https 版本，以便浏览器不会显示“混合安全”警告。

有人对如何最好地实现这一目标有任何建议吗？我的一个想法是创建一个并行站点来处理所有 ssl 流量，但我不确定这在 IIS6 中是否可行（这是我们现在使用的）。

Answer 1

您应该将其保留在一个 web.config 文件中。我假设您正在尝试避免“此页面包含安全和不安全的内容”警告？

您可以在不使用协议的情况下将网址存储在 web.config 文件中（例如 www.google.com 而不是 http://www.google.com）。 google.com）然后，当您要在代码中使用 URL 时，在从 web.config 中提取它们之后但在显示它们之前，请使用 Request IsSecureConnection 属性

http://msdn.microsoft.com/en-us/library /system.web.httprequest.issecureconnection.aspx

例如：

((Request.IsSecureConnection)?"https://":"http://") + ConfigurationManager.AppSettings["theURL"]

或者您可以使用 javascript 来完成（这就是 Google Analytics 的做法）：

var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");  

然后他们只需使用 gaJsHost“前缀”来获取资源..

Answer 2

我不确定您到底在问什么，但只要您没有将 IIS 站点配置为仅允许 SSL 流量，就应该没问题。您的服务仍将通过 SSL 和非 SSL 流量运行。

您应该使用重写规则来确保所有用户都定向到 SSL
http://www.sslshopper.com/iis7-redirect-http-to -https.html

如果您按照我上面链接的说明使用 IIS7 中的重写模块，您可以确保访问您网站的任何人都会自动重定向到 SSL。

Answer 3

始终使用 https 来引用文件，问题就解决了。否则，可能开始使用不带协议的 URL - 例如 //somesite.com/somefile.html - 并且浏览器将使用当前页面的协议。