IIS: HTTPS绑定的RequireSSL false

Question

在只有https绑定的IIS网站中，我转到SSL设置：

RequireSSL设置为true还是false之间的差异是什么？

Answer 1

从这里(http://weblogs.asp.net/scottgu/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates)：

• IIS 7.0管理工具有一个"SSL设置“节点，您可以为每个站点、目录或文件选择该节点，该节点允许您控制该特定资源(以及默认情况下其子资源)是否需要SSL请求才能执行。这对于像login.aspx页面这样的页面非常有用，您希望保证用户只有在通过加密的渠道投递时才能输入他们的凭据。如果您将login.aspx页面配置为需要SSL，IIS7.0将阻止浏览器访问它，除非浏览器通过SSL进行访问。
• 在ASP.NET页面或处理程序中，您可以通过检查Request.IsSecure属性，以编程方式检查当前请求是否使用Request.IsSecure(如果传入的浏览器请求通过SSL，它将返回"true“)。
• 您可以在requireSSL文件中的配置部分中设置“web.config”属性，以使ASP.NET的窗体身份验证系统确保窗体-身份验证cookie只在启用SSL的页面和URL上设置和使用。这避免了黑客试图拦截非SSL安全页面上的身份验证cookie，然后尝试使用来自不同计算机的“重放攻击”来模拟用户的风险。

因此，似乎只有当网站有http和https绑定以区分哪些特定资源需要https或根本不需要https时，此设置才有意义。