ASP.NET HTTPS 重定向和 HSTS headers

Question

我们有一个 ASP.NET 站点托管在 Azure 中。

之前我们实施了以下重写规则来强制使用 HTTPS：

  <rules>
    <rule name="Redirect to https">
      <match url="(.*)"/>
      <conditions>
        <add input="{HTTPS}" pattern="Off"/>
        <add input="{REQUEST_METHOD}" pattern="^get$|^head$|^post$" />
      </conditions>
      <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"/>
    </rule>
  </rules>

我们现在通过以下规则引入 HSTS（来自 this guide）：

  <outboundRules>
    <rule name="Add Strict-Transport-Security only when using HTTPS" enabled="true">
      <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
      <conditions>
        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
      </conditions>
      <action type="Rewrite" value="max-age=31536000; includeSubdomains; preload" />
    </rule>
  </outboundRules>

我们是否需要这两种规则，或者我们可以删除 HTTPS 规则而只使用 HSTS 规则吗？

Answer 1

不，两者都需要。

HSTS 应仅应用于符合规范的安全请求。将它应用于不安全的请求是没有意义的，因为 man-in-the-middle 可能只是剥离 header.

如果请求来自 HTTP，您必须首先将它们重定向到 HTTPS。然后 return 响应中的 HSTS header。

引用自规范：https://www.rfc-editor.org/rfc/rfc6797#section-7.2

An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.

ASP.NET HTTPS 重定向和 HSTS headers

ASP.NET HTTPS redirect & HSTS headers

asp.net

https

web-config

azure

hsts