使用 WebClient 时如何强制执行 SSL?
How do I enforce SSL when using WebClient?
在 .NET 2.0 Forms 应用程序中,我使用 WebClient 通过 SSL 与 Web 服务器通信。在通信中,密码在 HTTP GET 或 POST 参数中发送到服务器(意味着它被放入 WebClient.QueryString)。
必须(显然)避免以明文形式传输密码。现在,以及我到目前为止所做的,是假设只需确保各种 WebClient 函数的 URI 参数以 "https://" 开头就足够了:
// 'path' is something like "www.example.com/example.php"
var uri = new Uri(string.Format("https://{0}", path));
webCl.QueryString = new NameValueCollection();
webCl.QueryString.Add("passwd", "my_password");
var reply = webCl.DownloadString(uri);
但我不确定。如果连接未加密,这真的足以保证不会发生 GET 或 POST 参数(对于 UploadString())的明文传输吗?我的假设是,如果SSL握手失败,HTTP参数的传输将不会发生,只有启用加密,SSL握手才能成功。
你的假设是正确的。如果您强制将基本 URI 设置为 "https",则查询字符串流量将通过加密的 SSL link。您也可以使用 WebClient.BaseAddress 属性.
您可能需要特别注意的是您允许的特定安全协议。特别是在最近的 SSL 3 安全问题之后,您可能只想允许 TLS。
System.Net.ServicePointManager.SecurityProtocol = Net.SecurityProtocolType.Tls
在相关说明中,您当然希望在对 DownloadString 的调用周围放置一个 try/catch 以确保您处理错误。
在 .NET 2.0 Forms 应用程序中,我使用 WebClient 通过 SSL 与 Web 服务器通信。在通信中,密码在 HTTP GET 或 POST 参数中发送到服务器(意味着它被放入 WebClient.QueryString)。
必须(显然)避免以明文形式传输密码。现在,以及我到目前为止所做的,是假设只需确保各种 WebClient 函数的 URI 参数以 "https://" 开头就足够了:
// 'path' is something like "www.example.com/example.php"
var uri = new Uri(string.Format("https://{0}", path));
webCl.QueryString = new NameValueCollection();
webCl.QueryString.Add("passwd", "my_password");
var reply = webCl.DownloadString(uri);
但我不确定。如果连接未加密,这真的足以保证不会发生 GET 或 POST 参数(对于 UploadString())的明文传输吗?我的假设是,如果SSL握手失败,HTTP参数的传输将不会发生,只有启用加密,SSL握手才能成功。
你的假设是正确的。如果您强制将基本 URI 设置为 "https",则查询字符串流量将通过加密的 SSL link。您也可以使用 WebClient.BaseAddress 属性.
您可能需要特别注意的是您允许的特定安全协议。特别是在最近的 SSL 3 安全问题之后,您可能只想允许 TLS。
System.Net.ServicePointManager.SecurityProtocol = Net.SecurityProtocolType.Tls
在相关说明中,您当然希望在对 DownloadString 的调用周围放置一个 try/catch 以确保您处理错误。