我有一个只需要通过 HTTPS 运行的自托管 WEB API 项目。
我发现了几篇文章如何做到这一点(获取 SSL 证书,使用“netsh”命令将证书绑定(bind)到 IP/端口,将基地址更改为 HTTPS://...等)。
到目前为止一切看起来都不错,我可以通过 HTTPS 调用该服务。
但我还需要明确拒绝所有 HTTP 调用。当我尝试使用 HTTP 调用服务时,我收到“504 超时”错误。并且需要一段时间才能从服务中获得响应,这可能会导致拒绝服务。
我尝试应用一个自定义属性,该属性将检查请求是否通过 HTTPS 但从未到达该代码。
我需要做什么才能拒绝 HTTP 调用。同样,它是一个自托管的 WEB API 项目。
我不在 IIS 中托管 WEB API。这是一个自托管的 WEB API。这是我如何初始化它的代码:
public class HttpsSelfHostConfiguration : HttpSelfHostConfiguration
{
public HttpsSelfHostConfiguration(string baseAddress) : base(baseAddress) { }
public HttpsSelfHostConfiguration(Uri baseAddress) : base(baseAddress) { }
protected override BindingParameterCollection OnConfigureBinding(HttpBinding httpBinding)
{
if (BaseAddress.ToString().ToLower().Contains("https://"))
{
httpBinding.Security.Mode = HttpBindingSecurityMode.Transport;
}
return base.OnConfigureBinding(httpBinding);
}
}
var url = "https://localhost:7080/";
var config = new HttpsSelfHostConfiguration(url);
config.Routes.MapHttpRoute("WebAPIRoute2", "api/{controller}/{action}/{id}",
new { controller = "Submissions", id = RouteParameter.Optional });
var server = new HttpSelfHostServer(config);
server.OpenAsync().Wait();
我还使用以下命令将 SSL 证书绑定(bind)到端口 7080:
netsh http add urlacl url=https://+:7080/ user=Everyone
netsh http add sslcert ipport=0.0.0.0:7080 certhash=Thumbprint appid={xxxx}
最佳答案
我猜你需要这样的东西
Best way in asp.net to force https for an entire site?
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}
关于api - 通过 HTTPS 自托管 WEB API。拒绝所有 HTTP 调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33013052/