HttpWebRequest请求的安全问题

HttpWebRequest和HttpWebResponse在.Net中是非常常用的获取web页面信息信息的函数。我们可以看到许多电子资料搜集软件都使用他们完成的。事例代码如下：

Url="http://www.sohu.com";

HttpWebRequest request = (HttpWebRequest) WebRequest.Create(Url);
    request.Credentials=CredentialCache.DefaultCredentials;
    System.Net.ServicePointManager.CertificatePolicy = new TrustAllCertificatePolicy();

    HttpWebResponse response = (HttpWebResponse) request.GetResponse();

string body;
    Stream resStream = response.GetResponseStream();
    int count = resStream.Read(buf, 0, buf.Length);
    body = Encoding.Default.GetString(buf, 0, count);
    resStream.Close();

它可以支持http/https的访问。

但调试过程中经常会遇到安全方面的限制。

通常的解决方式如下：

1，如果你的代码是在网站上运行，你需要修改Web.config中的<trust>标签，设为Full.

2，如果你访问的是https站点，你需要重载系统的服务信任策略。如下：System.Net.ServicePointManager.CertificatePolicy = new TrustAllCertificatePolicy();

 public class TrustAllCertificatePolicy : System.Net.ICertificatePolicy
 {
  public TrustAllCertificatePolicy() {}
  public bool CheckValidationResult(ServicePoint sp,
   X509Certificate cert,
   WebRequest req,
   int problem)
  {
   return true;
  }
 }

通过重载ICertifyicatePolicy,实际上是牺牲了安全性。