security - proteger - seguridad de mi sitio web
¿Cuál es una forma clara/simple de garantizar la seguridad de una página? (5)
Eche un vistazo a esto: http://www.dotnetmonster.com/Uwe/Forum.aspx/asp-net/75369/Enforcing-https
Editar: muestra las soluciones desde un punto de vista de IIS, pero debe poder configurarlo para cualquier servidor web.
Supongamos que tiene un formulario que recopila y envía información confidencial y desea asegurarse de que nunca se acceda a través de medios inseguros (que no sean HTTPS), ¿cómo podría hacer para aplicar esa política?
En IIS? Vaya a la configuración de seguridad y presione "Requerir conexión segura". Alternativamente, puede verificar las variables del servidor en la página carga y redirigir a la página segura.
Sugeriría ver la solicitud en el código que representa el formulario y, si no usa SSL, emita un redireccionamiento a la URL https.
También podría usar una regla de rewite en Apache para redirigir al usuario.
O bien, simplemente no puede publicar la página a través de HTTP y mantenerla solo en la raíz del documento de su sitio HTTPS.
Si está ejecutando Apache, puede poner RewriteRule en su .htaccess , así:
RewriteCond %{HTTPS} "off"
RewriteRule /mypage.html https://example.com/mypage.html
Creo que la solución más a prueba de balas es mantener el código dentro de la raíz de su documento SSL solamente. Esto garantizará que usted (u otro desarrollador en el futuro) no pueda vincular accidentalmente a una versión no segura del formulario. Si tiene el formulario tanto en HTTP como en HTTPS, es posible que ni siquiera note si se utiliza el incorrecto inadvertidamente.
Si esto no es posible, entonces tomaría al menos dos precauciones. Realice la reescritura de la URL de Apache y compruebe su código para asegurarse de que la sesión esté encriptada. Compruebe los encabezados HTTP.