Skip to content
This repository has been archived by the owner on Sep 18, 2024. It is now read-only.
/ ASPNET_Security_Restaurant Public archive

Demo af TLS i ASP.NET og hvordan der laves redirection. Desuden omtales HSTS.

2 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

EgonRasmussen/ASPNET_Security_Restaurant

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

23 Commits
DataLayer
DataLayer
 
 
ServiceLayer
ServiceLayer
 
 
WebApp
WebApp
 
 
.gitattributes
.gitattributes
 
 
.gitignore
.gitignore
 
 
README.md
README.md
 
 
Restaurants.sln
Restaurants.sln
 
 
desktop.ini
desktop.ini
 
 

Repository files navigation

HTTPS

Enforce HTTPS in ASP.NET Core

A. Forstå HTTPS i ASP.NET

  1. I Startup.cs udkommenteres app.UseHttpsRedirection();
  2. Start Fiddler, filter = localhost og ingen HTTPS decryption (Tools | Options | HTTPS og deselect Decrypt HTTPS traffic)
  3. Web uden at benytte SSL, http://localhost:63919 og vælg CREATE. Send en submit og se at alle data er synlige i POST request pakken.
  4. (virker ikke når først Decryption har været aktiveret): Web med SSL, https://localhost:44358/ og vælg CREATE. Send en submit og se at alle data er krypterede i POST request pakken.
  5. Slå Decrypt HTTPS traffic til i Fiddler, genstart Fiddler og web SSL adressen og CREATE. Parametre kan stadig ses - men kun fordi Fiddler er "Man in the middle" og dekrypterer.  

B. Sikre at HTTPS benyttes

  1. I Startup.cs tilføjes app.UseHttpsRedirection();
  2. Web uden at benytte SSL, http://localhost:63919 og se omstillingen med HTTP 307 i Fiddler. Læs om HTTP 307
  3. Bemærk at kun hvis UseHttpsRedirection() kommer før UseStaticFiles() vil css og html være krypteret

 

C. HSTS (HTTPS Strict Transport Security)

Se denne video fra Pluralsight: https://app.pluralsight.com/course-player?clipId=4a5a88b6-d619-45c7-ace6-5e5f15334210

  1. Inkommentér UseHSTS();
  2. Konfigurér service med:
services.AddHsts(opts =>
{
    opts.IncludeSubDomains = true;
    opts.MaxAge = TimeSpan.FromMinutes(5);
});

Følgende kræver at siten er deployet til andet end localhost (localhost er excluded i browserens HSTS)

  1. I Properties | Debug fjernes flueben ved Launch browser så den ikke laver en indledende Redirect inden vi er klar til at se på kommunikationen.
  2. Start og web: http://localhost:63919 med DevTools åben
  3. Bemærk HTTP 307 og omdirigering til HTTPS. Se også i Response Headers at strict-transport-security er sat til 300 sekunder (5 minutter)

How to Clear HSTS Settings on Chrome, Firefox and IE Browsers

  1. Registrering for preloading

D. Mixed Content

  1. Bemærk linket til et billede, hvis src peger på et http-link. Det får hele siden til at være usikker, men Chrome forsøger en automatisk omdirigering til en HTTPS ressource. Og en sådan findes i demo-eksemplet. Demo af Details for Cinnamon Club, hvor et billede fra Apache loades via http!
  2. Vigtigt at benytte relative links til alle lokale ressourcer, så scheme automatisk tilpasses.
  3. Kig i DevTools under Console og læs warning om "Mixed Content".

About

Demo af TLS i ASP.NET og hvordan der laves redirection. Desuden omtales HSTS.

Resources

Readme
Activity

Stars

2 stars

Watchers

1 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages