Impostazioni HSTS per un sito <Web hsts>
Panoramica
L'elemento <hsts> dell'elemento <site> contiene attributi che consentono di configurare le impostazioni HSTS (HTTP Strict Transport Security) per un sito in IIS 10.0 versione 1709 e versioni successive.
Nota
Se l'elemento <hsts> è configurato sia <siteDefaults> nella sezione che nella <site> sezione per un sito specifico, la configurazione nella <site> sezione viene usata per tale sito.
Compatibilità
| Versione | Note |
|---|---|
| IIS 10.0 versione 1709 | L'elemento <hsts> dell'elemento <site> è stato introdotto in IIS 10.0 versione 1709. |
| IIS 10.0 | N/D |
| IIS 8,5 | N/D |
| IIS 8,0 | N/D |
| IIS 7,5 | N/D |
| IIS 7.0 | N/D |
| IIS 6.0 | N/D |
Installazione
L'elemento <hsts> dell'elemento è incluso nell'installazione <site> predefinita di IIS 10.0 versione 1709 e versioni successive.
Procedure
Non esiste un'interfaccia utente che consente di configurare l'elemento dell'elemento <hsts><site> per IIS 10.0 versione 1709. Per esempi di come configurare l'elemento dell'elemento <site> a livello di codice, vedere la <hsts> sezione Codice di esempio di questo documento.
Configurazione
Attributi
| Attributo | Descrizione |
|---|---|
enabled |
Attributo booleano facoltativo. Specifica se HSTS è abilitato (true) o disabilitato (false) per un sito. Se HSTS è abilitato, l'intestazione di risposta HTTP Strict-Transport-Security viene aggiunta quando IIS risponde a una richiesta HTTPS al sito Web. Il valore predefinito è false. |
max-age |
Attributo uint facoltativo. Specifica la direttiva max-age nel valore dell'intestazione di risposta HTTP Strict-Transport-Security . Il valore predefinito è 0. |
includeSubDomains |
Attributo booleano facoltativo. Specifica se la direttiva includeSubDomains è inclusa nel valore dell'intestazione di risposta HTTP Strict-Transport-Security . Nota: Abilitare questo attributo solo se tutti i sottodomini offrono effettivamente servizio basato su HTTP tramite TLS/SSL. Il valore predefinito è false. |
preload |
Attributo booleano facoltativo. Specifica se la direttiva di preload è inclusa nel valore dell'intestazione di risposta HTTP Strict-Transport-Security . Nota: Abilitare questo attributo solo se il dominio del sito è stato inviato per l'inclusione nell'elenco di preload HSTS. Il valore predefinito è false. |
redirectHttpToHttps |
Attributo booleano facoltativo. Specifica se il reindirizzamento HTTP a HTTPS è abilitato (true) o disabilitato (false) per un sito. Nota: L'abilitazione del reindirizzamentoHttpToHttps applica il reindirizzamento HTTP a livello di sito a HTTPS. Quando IIS reindirizza una richiesta HTTP, sostituisce lo schema URI con "https" e ignora il componente della porta. Assicurarsi che la destinazione di reindirizzamento fornisca un servizio basato su HTTP tramite TLS/SSL sulla porta standard 443. Il valore predefinito è false. |
Elementi figlio
Nessuno.
Esempio di configurazione
L'esempio di configurazione seguente mostra un sito Web denominato Contoso che dispone di HSTS abilitato sia con associazioni HTTP che HTTPS. L'attributo max-age viene impostato come 31536000 secondi (un anno) in modo che gli agenti utente considerino l'host come host HSTS noto entro un anno dopo la ricezione del campo intestazione Strict-Transport-Security . L'attributo includeSubDomains è impostato come true per specificare che i criteri HSTS si applicano a questo host HSTS (contoso.com) e a qualsiasi sottodominio (ad esempio, www.contoso.com o marketing.contoso.com). Infine, l'attributo redirectHttpToHttps viene impostato come true in modo che tutte le richieste HTTP al sito vengano reindirizzate a HTTPS.
<site name="Contoso" id="1">
<application path="/" applicationPool="Contoso">
<virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:contoso.com" />
<binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
</bindings>
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>
Codice di esempio
Gli esempi di codice seguenti abilitano HSTS per un sito Web denominato Contoso con associazioni HTTP e HTTPS. L'esempio imposta l'attributo max-age come 31536000 secondi (un anno) e abilita sia gli attributi includeSubDomains che redirectHttpToHttps .
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Nota
È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di applicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using(ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
hstsElement["enabled"] = true;
hstsElement["max-age"] = 31536000;
hstsElement["includeSubDomains"] = true;
hstsElement["redirectHttpToHttps"] = true;
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
hstsElement("enabled") = True
hstsElement("max-age") = 31536000
hstsElement("includeSubDomains") = True
hstsElement("redirectHttpToHttps") = True
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch)
{
for (var i = 0; i < collection.Count; i++)
{
var element = collection.Item(i);
if (element.Name == elementTagName)
{
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
{
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null)
{
value = value.toString();
}
if (value != valuesToMatch[iVal + 1])
{
matches = false;
break;
}
}
if (matches)
{
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))
If siteElementPos = -1 Then
WScript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
Cmdlet di PowerShell per IISAdministration
Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay
$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true
Stop-IISCommitDelay
Remove-Module IISAdministration