我有一个自托管的 WEB API 项目,仅需要通过 HTTPS 运行。
我找到了几篇如何做到这一点的文章(获取 SSL 证书、使用“netsh”命令将证书绑定到 IP/端口、将基地址更改为 HTTPS://...等)。
到目前为止一切看起来都很好,我可以通过 HTTPS 调用该服务。
但我还需要显式拒绝所有 HTTP 调用。当我尝试使用 HTTP 调用服务时,出现“504 超时”错误。并且需要一段时间才能从服务获得响应,因此可能会出现拒绝服务。
我尝试应用一个自定义属性来检查请求是否通过 HTTPS,但从未到达该代码。
我需要做什么才能拒绝 HTTP 调用。这又是一个自托管 WEB API 项目。
我没有在 IIS 中托管 WEB API。它是一个自托管的 WEB API。这是我如何初始化它的代码:
public class HttpsSelfHostConfiguration : HttpSelfHostConfiguration
{
public HttpsSelfHostConfiguration(string baseAddress) : base(baseAddress) { }
public HttpsSelfHostConfiguration(Uri baseAddress) : base(baseAddress) { }
protected override BindingParameterCollection OnConfigureBinding(HttpBinding httpBinding)
{
if (BaseAddress.ToString().ToLower().Contains("https://"))
{
httpBinding.Security.Mode = HttpBindingSecurityMode.Transport;
}
return base.OnConfigureBinding(httpBinding);
}
}
var url = "https://localhost:7080/";
var config = new HttpsSelfHostConfiguration(url);
config.Routes.MapHttpRoute("WebAPIRoute2", "api/{controller}/{action}/{id}",
new { controller = "Submissions", id = RouteParameter.Optional });
var server = new HttpSelfHostServer(config);
server.OpenAsync().Wait();
我还使用以下命令将 SSL 证书绑定到端口 7080:
netsh http add urlacl url=https://+:7080/ user=Everyone
netsh http add sslcert ipport=0.0.0.0:7080 certhash=Thumbprint appid={xxxx}
我猜你需要这样的东西
asp.net 中为整个站点强制使用 https 的最佳方式?
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
protected void Application_BeginRequest(Object sender, EventArgs e)
{
if (HttpContext.Current.Request.IsSecureConnection.Equals(false) && HttpContext.Current.Request.IsLocal.Equals(false))
{
Response.Redirect("https://" + Request.ServerVariables["HTTP_HOST"]
+ HttpContext.Current.Request.RawUrl);
}
}