設計賓至如歸的HTTPS強制導向網頁

有個網站有較嚴的資安要求，因此在IIS管理員中將其設為必須使用SSL連線，當使用者使用HTTP而非HTTPS連線時，會看到403拒絕存取的錯訊訊息，不太友善:

403 - Forbidden: Access is denied.

You do not have permission to view this directory or page using the credentials that you supplied.

嚴格說起來，這個訊息回應不夠人性，未導引使用者解決問題，所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務。

必須使用SSL的錯誤回應碼是403.4，我們可以為它寫一個專屬自訂錯誤網頁，以文字提醒使用者要將http改為https；若使用者懶得打字修改URL，網頁還提供了一個連結，點下去就能立刻改連https版本的URL；若使用者已修練到"眼前的餅吃完也懶得轉圈"的極致境界，則也可以選擇什麼都不要做，繼續癱在椅子上喘10秒鐘，網頁暗藏了Script，先倒數10秒，再自動將網頁導向到https版的URL。相信這樣的設計，其賓至如歸的程度，應該直逼【踏進百貨公司時，20位SOGO小姐羅列兩排向你90度鞠躬，並嗲聲齊喊歡迎光臨】的水準。

自訂錯誤網頁的程式如下:

<html><head><title>網頁需要安全連線</title>

<script type="text/javascript">

function showMsg() {

    var cnt = 10;

    var sslUrl = location.href.replace(/^http/i, "https");

    document.getElementById("lnkSSL").href = sslUrl;

    setInterval(function() {

        if (--cnt >= 0)

            document.getElementById("spnCountDown").innerHTML = cnt;

        else

            location.href = sslUrl;

    }, 1000);

}

</script>

<style type="text/css">

div 

{ 

    background-color: #cccccc; border: 2px solid black; 

    padding: 5px; width: 300px; line-height: 150%;

    font-size: 11pt;

}

#spnCountDown { color: red; padding: 4px; }

</style>

</head>

<body onload="showMsg();">

<div>

本網站限定使用SSL加密連線!<br />

請將網址之http://改為https://後重新連線，

亦可點選<a id="lnkSSL">這裡</a>直接改用加密連線。<br />

或請稍候<span id="spnCountDown">10</span>秒，

由系統為您自動轉接。

</div>

</body></html>

接著我們要用這個網頁取代預設的403.4錯誤回應，以IIS7為例，將這個網頁存成SSLRedirect.htm，放在Web Application的根目錄下，並設定web.config如下(亦可使用IIS管理員GUI設定)。當使用者因未使用SSL被拒產生403.4錯誤時，就會改顯示上述網頁，讓使用者體驗VIP級的親切服務囉!

    <httpErrors>
        <error statusCode="403" subStatusCode="4" path="SSLRedirect.htm" responseMode="File" />
    </httpErrors>
</system.webServer>