我有一个使用 2 个网站的应用程序(所以我猜是 2 个应用程序...)。用户通过 https 网站登录,然后在成功登录后转移到不安全的 http 网站应用程序(使用表单例份验证)。我(和其他人)已经开始收到消息了
“当前网页正在尝试打开您信任的站点列表中的站点。您要允许吗?”
当用户被重定向时。
有没有办法在服务器配置或代码中阻止它?
谢谢
最佳答案
如果用户对在“不安全站点”上执行的任何操作负责,则该站点不应该是不安全的。在 HTTPS 上对用户进行身份验证,然后让他们通过 HTTP 使用该身份验证执行操作是不安全的。
如果有人不担心中间人,那么使用 HTTPS 对他们来说根本没有意义。另一方面,如果中间人攻击是可能的(通常我认为是),那么通过不安全的 channel 发送通过安全登录获得的 session 标识符 cookie(或其他凭证)允许攻击者窃取它并伪造对服务的请求。
关于c# - 不安全和安全的 HTTP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1668506/