通过 HTTPS 自托管 WEB API。拒绝所有 HTTP 调用

问题描述 投票:0回答:1

我有一个自托管的 WEB API 项目,仅需要通过 HTTPS 运行。

我找到了几篇如何做到这一点的文章(获取 SSL 证书、使用“netsh”命令将证书绑定到 IP/端口、将基地址更改为 HTTPS://...等)。

到目前为止一切看起来都很好,我可以通过 HTTPS 调用该服务。

但我还需要显式拒绝所有 HTTP 调用。当我尝试使用 HTTP 调用服务时,出现“504 超时”错误。并且需要一段时间才能从服务获得响应,因此可能会出现拒绝服务。

我尝试应用一个自定义属性来检查请求是否通过 HTTPS,但从未到达该代码。

我需要做什么才能拒绝 HTTP 调用。这又是一个自托管 WEB API 项目。

我没有在 IIS 中托管 WEB API。它是一个自托管的 WEB API。这是我如何初始化它的代码:

public class HttpsSelfHostConfiguration : HttpSelfHostConfiguration
{
   public HttpsSelfHostConfiguration(string baseAddress) : base(baseAddress) { }
   public HttpsSelfHostConfiguration(Uri baseAddress) : base(baseAddress) { }

  protected override BindingParameterCollection OnConfigureBinding(HttpBinding httpBinding)
  {
      if (BaseAddress.ToString().ToLower().Contains("https://"))
      {
          httpBinding.Security.Mode = HttpBindingSecurityMode.Transport;
      }
      return base.OnConfigureBinding(httpBinding);
  }
}

var url = "https://localhost:7080/";

var config = new HttpsSelfHostConfiguration(url);

config.Routes.MapHttpRoute("WebAPIRoute2", "api/{controller}/{action}/{id}",
      new { controller = "Submissions", id = RouteParameter.Optional });


var server = new HttpSelfHostServer(config);
server.OpenAsync().Wait();

我还使用以下命令将 SSL 证书绑定到端口 7080:

netsh http add urlacl url=https://+:7080/ user=Everyone

netsh http add sslcert ipport=0.0.0.0:7080 certhash=Thumbprint appid={xxxx}
https webapi host self
1个回答
0
投票

我猜你需要这样的东西

asp.net 中为整个站点强制使用 https 的最佳方式?

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                        redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security"
                        pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=31536000" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>


protected void Application_BeginRequest(Object sender, EventArgs e)
{
   if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
   {
    Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+   HttpContext.Current.Request.RawUrl);
   }
}
© www.soinside.com 2019 - 2024. All rights reserved.