Asp.Net MVC Https設置

1.   IIS設置

1.1 建立SSL證書

　　 點擊左側菜單欄頂部，點擊「功能視圖」裏的「服務器證書」：

         點擊「建立自動簽名證書」建立自動簽名證書：

1.2 設置SSL證書

         點開網站，在「功能視圖」裏點擊「SSL設置」：

         如圖，設置SSL：

1.3 綁定SSL證書

         點開網站，在右側「操做」欄點擊「綁定」：

         添加「網站綁定」，選擇https及剛剛建立的SSL證書，主機名（也就是域名）根據須要選設（IIS7默認不支持，須要在配置文件applicationHost.config裏進行設置，詳見注）：

         【注】域名也能夠經過配置進行設置：

    　　打開C:\Windows\system32\inetsrv\config\applicationHost.config在裏面找到

<bindings>
    <binding protocol="https" bindingInformation="*:443:" />
     <binding protocol="http" bindingInformation="*:80:www.yourdomain.com" />
</bindings>

　　找到https的配置項目，修改成：

<binding protocol="https" bindingInformation="*:443:www.yourdomain.com"/>

　　這裏面須要注意的是:bindings節點有多個，須要找到你配置的站點,默認是

<binding protocol="https" bindingInformation="*:443" />

2．強制使用https

　　MVC操做很是簡單，只須要在網站Index設置RequireHttps特性便可：

        [RequireHttps]
        public ActionResult Index()
        {
            return View();
        }

　　這是一種投機的設置，合理的作法應該是在項目Global.asax文件 Application_Start中添加過濾：

 GlobalFilters.Filters.Add(new RequireHttpsAttribute());

3．https使用中的問題

3.1 百度地圖的問題

　　https的網站使用百度地圖，若是你引用的地址沒寫對的話，加載不出來百度地圖，被認爲是不安全的JS內容。解決方式：

　　https://api.map.baidu.com/api?v=2.0&ak=你的密鑰&s=1

　　加上s=1表明引用的是https的。

3.2 加密會話（SSL）Cookie 中缺乏 Secure 屬性問題

       服務器開啓了Https時，cookie的Secure屬性應設爲true，不然，在進行IBM AppScan安全掃描時，就會掃出下面的問題：

 

　　解決辦法：

　　1. 修改web.config，添加: 

<system.web>
  <httpCookies httpOnlyCookies="true" requireSSL="true" />
<system.web> 

　　2. 修改後臺寫Cookies時的設置 cookie.Secure = true：

1 HttpResponse response = HttpContext.Current.Response;
2 var cookie = new HttpCookie(key, value);
3 cookie.HttpOnly = true;
4 cookie.Path = "/";
5 cookie.Expires = DateTime.Now.AddHours(1);
6 cookie.Secure = true; 
7 response.AppendCookie(cookie);

 

參考資料：

IIS配置HTTPS

C# MVC 網站將http強制跳轉到https
IBM AppScan 安全掃描：加密會話（SSL）Cookie 中缺乏 Secure 屬性 處理辦法