2010-06-09 191 views
1

我有一個網站混合了http和https頁面。在網站的根目錄下,一個文件夾包含所有http頁面,另一個文件夾包含所有https頁面。登錄通過https並將用戶發送到其他頁面。當會話過期時,表單認證重定向到登錄頁面,但瀏覽器使用http並且用戶得到403錯誤。重定向到https登錄頁面

是否有任何方法來覆蓋會話超時發送到https?

回答

0

一種方法是配置IIS以http流量重定向到https

http://support.microsoft.com/kb/839357

一件事與混合模式這樣的考慮:

有SSL網頁上的一個常見的攻擊,這是,製作一個http請求(https資源)以獲得未加密的會話cookie。這就是爲什麼你想配置你的會話cookie只加密(不會通過http發送)。我猜你的http和https頁面共享會話,這意味着你不能設置這個設置,使你的站點容易受到這種攻擊。但很好意識到這一點。 http://anubhavg.wordpress.com/2008/02/05/how-to-mark-session-cookie-secure/

另一篇文章對您有幫助 http://www.west-wind.com/Weblog/posts/4057.aspx