我有一個在https(SSL)中工作的asp.net應用程序。這在我的本地計算機和Amazon AWS(生產環境)中運行良好。在HTTPS請求中,Request.IsSecureConnection返回false
但是,當我在辦公室(測試)託管這個應用程序時,會發生一些奇怪的事情。
我可以看到在瀏覽器中的HTTPS和鎖標誌。
的Fiddler還示出了輸出被加密,並示出了端口443
HttpContext.Current.Request.IsSecureConnection但返回假
而且HttpContext.Current.Request.Url.Scheme返回HTTP。
在辦公室我們使用的是Juniper SSG防火牆和TMG 2010(Forefront Threat Management Gateway 2010)。因此服務器通過Juniper和TMG 2010接收請求。提前致謝。
爲了降低成本我懷疑在TMG網關上安裝了SSL證書,並且該網關只是在將標準HTTP傳遞到實際的Web服務器時將其重寫。所以當請求到達IIS和您的Web應用程序時,它就是一個標準的純HTTP請求。
這絆倒我最多部署到Amazon的彈性魔豆後環境。我看不到任何方式讓負載均衡器允許SSL請求直接通向服務器。相反,它始終在負載平衡器處終止SSL,並將純http傳回服務器。
我發現這個文檔:Elastic Load Balancing Concepts - X-Forwarded Headers。
基本上,負載平衡器在將每個請求轉發給後端服務器之前,會向其中注入一些額外的HTTP Headers。最相關的是X-Forwarded-Proto,它跟蹤用於從客戶端瀏覽器連接到負載均衡器的協議。這可以這樣檢查:
var loadbalancerReceivedSSLRequest = string.Equals(Request.Headers["X-Forwarded-Proto"], "https");
var serverReceivedSSLRequest = Request.IsSecureConnection;
if (loadbalancerReceivedSSLRequest || serverReceivedSSLRequest)
{
// SSL in use.
}
else
{
// SSL not in use.
}
相關資源:http://www.bugdebugzone.com/2013/12/identifying-https-or-ssl-connection-in.html –
TMG安裝的SSL證書 –
好吧,所以這解釋了這種行爲。 TMG在將請求傳遞給Web服務器之前重寫請求。 –
@JomyJohn如果SSL *在TMG終止*,那麼ASP.NET是正確的:到ASP.NET的請求不是https –