SSL 및 ASP .NET MVC

Question

SSL (https : //)이지만 지불 컨트롤러에만 전체 웹 사이트를 넣을 필요는 없습니다.

해당 컨트롤러에만 [RequireHttps]을 사용해도 되나요? 아니면 각 컨트롤러에 적용해야합니까?

감사합니다.

Answer 1

"확인"의 의미에 따라 다릅니다. 민감한 것을 갖고 있다면 SSL을 전체 사이트에 적용해야합니다. 그렇지 않으면 중요한 요소 중 하나 인 인증 쿠키가 가로 챌 수 있으며 SSL을 무의미하게 만들 수 있습니다.

사이트의 한 부분에서 SSL이 필요한 경우 일반적으로 전체 사이트가 SSL이어야합니다. 왜 그것이 문제라고 생각하는지조차 확신하지 못합니다. SSL이 약간 더 많은 리소스를 필요로한다는 것은 사실이지만 SSL을 사용하는 경우에는 처음으로 연결하는 것입니다. 그런 다음 SSL의 눈에 띄는 오버 헤드가 없습니다.

는 http://blogs.msdn.com/b/rickandy/archive/2011/05/02/securing-your-asp-net-mvc-3-application.aspx

많은 웹 사이트가 SSL을 통해 로그인하고 당신이 절대적으로 할 수있는 잘못된 일이다, 로그인 한 후 다시 HTTP로 리디렉션을 참조하십시오. 귀하의 로그인 쿠키는 귀하의 사용자 이름 + 비밀 번호만큼이나 비밀입니다. 이제 귀하는 그것을 전표를 통해 일반 텍스트로 보냅니다. 게다가 MVC 파이프 라인이 실행되기 전에 핸드 셰이크를 수행하고 채널 (HTTPS를 HTTP보다 느리게 만드는 것의 대부분)의 보안을 확보 했으므로 로그인 한 후 다시 HTTP로 리디렉션해야합니다. 현재 요청 또는 향후 요청을 훨씬 빠르게 만듭니다.

Answer 2

전체 사이트에서 SSL을 사용하는 것이 좋습니다. 당신이 이길 : - 더 나은 구글의 신뢰를, 구글은 SSL 전용 을 선호하기 때문에 - 더 나은 신뢰를 사용자에게

CPU 전원 요즘 저렴합니다, 당신은 수백만의 사용자를 처리하는 않는 한 SSL 전용-extracost은 가장자리 가의.