NWebsec 和 URL 重写冲突
NWebsec and URL Rewrite Conflicting
我有一个 ASP.NET Webforms 应用程序,它正在使用 NWebsec。它按预期工作,但我试图从一开始就强制使用 HTTPS,而不是在使用 HSTS 发出初始请求之后。当我添加 URL Rewrite 时,它会进入重定向循环。删除 NWebsec 和 URL Rewrite 工作正常。 NWebsec 在任何一种情况下都可以工作,但如果他们加载 HTTP 则不重写,它将不会强制使用 HTTPS。 upgrade-insecure-requests 不能单独工作。
URL 重写规则
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
NWebsec 配置
<nwebsec>
<httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
<redirectValidation enabled="true" />
<setNoCacheHttpHeaders enabled="true" />
<x-Robots-Tag enabled="false" noIndex="false" noFollow="false" noArchive="false" noOdp="false" noSnippet="false" noImageIndex="false" noTranslate="false" />
<securityHttpHeaders>
<x-Frame-Options policy="Deny" />
<strict-Transport-Security max-age="60" includeSubdomains="true" httpsOnly="true" preload="false" />
<x-Content-Type-Options enabled="true" />
<x-Download-Options enabled="false" />
<x-XSS-Protection policy="Disabled" blockMode="true" />
<content-Security-Policy enabled="true">
<upgrade-insecure-requests enabled="true" />
</content-Security-Policy>
</securityHttpHeaders>
</httpHeaderSecurityModule>
</nwebsec>
找到问题了,PEBKAC。应该更好地阅读 documentation。
<redirectValidation enabled="true">
<allowSameHostRedirectsToHttps enabled="true" />
</redirectValidation>
我有一个 ASP.NET Webforms 应用程序,它正在使用 NWebsec。它按预期工作,但我试图从一开始就强制使用 HTTPS,而不是在使用 HSTS 发出初始请求之后。当我添加 URL Rewrite 时,它会进入重定向循环。删除 NWebsec 和 URL Rewrite 工作正常。 NWebsec 在任何一种情况下都可以工作,但如果他们加载 HTTP 则不重写,它将不会强制使用 HTTPS。 upgrade-insecure-requests 不能单独工作。
URL 重写规则
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
NWebsec 配置
<nwebsec>
<httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
<redirectValidation enabled="true" />
<setNoCacheHttpHeaders enabled="true" />
<x-Robots-Tag enabled="false" noIndex="false" noFollow="false" noArchive="false" noOdp="false" noSnippet="false" noImageIndex="false" noTranslate="false" />
<securityHttpHeaders>
<x-Frame-Options policy="Deny" />
<strict-Transport-Security max-age="60" includeSubdomains="true" httpsOnly="true" preload="false" />
<x-Content-Type-Options enabled="true" />
<x-Download-Options enabled="false" />
<x-XSS-Protection policy="Disabled" blockMode="true" />
<content-Security-Policy enabled="true">
<upgrade-insecure-requests enabled="true" />
</content-Security-Policy>
</securityHttpHeaders>
</httpHeaderSecurityModule>
</nwebsec>
找到问题了,PEBKAC。应该更好地阅读 documentation。
<redirectValidation enabled="true">
<allowSameHostRedirectsToHttps enabled="true" />
</redirectValidation>