在ASP.NET Core 中強制使用HTTPS | visual studio docker https
本文內容 作者:RickAnderson[1]本檔說明如何:所有要求都需要HTTPS。將所有HTTP要求都重新導向至HTTPS。沒有任何API可以防止用戶端在第一個要求上傳送機密資料。警告API專案請勿在接收敏感資訊的Webapi上使用RequireHttpsAttribute[2]。RequireHttpsAttribute使用HTTP狀態碼將瀏覽器從HTTP重新導向至HTTPS。API用戶端可能無法理解或遵守從HTTP到HTTPS的重新導向。這類用戶端可能會透過HTTP傳送資訊。WebApi必須:未在HTTP上接聽。關閉狀態碼為400的連線(錯誤的要求),而不提供要求。若要在API中停用HTTP重新導向,請設...
本文內容作者:Rick Anderson[1]
本檔說明如何:
所有要求都需要 HTTPS。 將所有 HTTP 要求都重新導向至 HTTPS。沒有任何 API 可以防止用戶端在第一個要求上傳送機密資料。
警告
API 專案請勿 在 接收敏感資訊的 Web api 上使用 RequireHttpsAttribute[2] 。 RequireHttpsAttribute 使用 HTTP 狀態碼將瀏覽器從 HTTP 重新導向至 HTTPS。 API 用戶端可能無法理解或遵守從 HTTP 到 HTTPS 的重新導向。 這類用戶端可能會透過 HTTP 傳送資訊。 Web Api 必須:
未在 HTTP 上接聽。 關閉狀態碼為400的連線 (錯誤的要求) ,而不提供要求。若要在 API 中停用 HTTP 重新導向,請設定 ASPNETCORE_URLS 環境變數或使用 --urls 命令列旗標。 如需詳細資訊,請參閱 在 ASP.NET Core 中使用多個環境[3] 和五種方式,藉由 Andrew 鎖定來設定 ASP.NET Core 應用程式的 url[4] 。
HSTS 和 API 專案預設 API 專案不包含 HSTS[5] ,因為 HSTS 通常是僅限瀏覽器的指令。 其他呼叫端(例如電話或桌面應用程式) 不會 遵守指令。 即使在瀏覽器中,透過 HTTP 對 API 進行的單一驗證呼叫也會對不安全的網路產生風險。 安全的方法是將 API 專案設定為只透過 HTTPS 接聽和回應。
警告
API 專案請勿 在 接收敏感資訊的 Web api 上使用 RequireHttpsAttribute[6] 。 RequireHttpsAttribute 使用 HTTP 狀態碼將瀏覽器從 HTTP 重新導向至 HTTPS。 API 用戶端可能無法理解或遵守從 HTTP 到 HTTPS 的重新導向。 這類用戶端可能會透過 HTTP 傳送資訊。 Web Api 必須:
未在 HTTP 上接聽。 關閉狀態碼為400的連線 (錯誤的要求) ,而不提供要求。 需要 HTTPS...