AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 67316
Accepted
MikeN
MikeN
Asked: 2009-09-22 06:04:43 +0800 CST2009-09-22 06:04:43 +0800 CST 2009-09-22 06:04:43 +0800 CST

在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https?

  • 772

我想将我的网络服务器上的所有 http 请求重写为 https 请求,我从以下内容开始:

服务器 {
    听 80;

    地点 / {
      重写 ^(.*) https://mysite.com$1 永久;
    }
...


一个问题是这会剥离任何子域信息(例如,node1.mysite.com/folder),我如何重写以上内容以将所有内容重新路由到 https 并维护子域?

nginx
  • 11 11 个回答
  • 558786 Views

11 个回答

  • Voted
  1. Best Answer
    Saif Bechan
    2011-12-06T12:43:47+08:002011-12-06T12:43:47+08:00

    新版本nginx的正确方法

    结果我对这个问题的第一个答案在某些时候是正确的,但它变成了另一个陷阱 - 要保持最新状态,请检查Taxing rewrite pitfalls

    我已经被许多 SE 用户更正,所以归功于他们,但更重要的是,这里是正确的代码:

    server {
           listen         80;
           server_name    my.domain.com;
           return         301 https://$server_name$request_uri;
    }
    
    server {
           listen         443 ssl;
           server_name    my.domain.com;
           # add Strict-Transport-Security to prevent man in the middle attacks
           add_header Strict-Transport-Security "max-age=31536000" always; 
    
           [....]
    }
    
    • 792
  2. Michael Neale
    2010-08-17T19:07:22+08:002010-08-17T19:07:22+08:00

    注意:执行此操作的最佳方法由https://serverfault.com/a/401632/3641提供- 但在此重复:

    server {
        listen         80;
        return 301 https://$host$request_uri;
    }
    

    在最简单的情况下,您的主机将被固定为您要将它们发送到的服务 - 这将执行 301 重定向到浏览器,并且浏览器 URL 将相应更新。

    以下是之前的答案,由于正则表达式,效率低下,@kmindi 所示的简单 301 非常好

    我一直在使用 nginx 0.8.39 及更高版本,并使用了以下内容:

     server {
           listen 80;
           rewrite ^(.*) https://$host$1 permanent;
     }
    

    向客户端发送永久重定向。

    • 287
  3. kmindi
    2012-06-24T09:19:34+08:002012-06-24T09:19:34+08:00

    我认为最好也是唯一的方法应该是使用HTTP 301 Moved Permanently重定向,如下所示:

    server {
        listen         [::]:80;
        return 301 https://$host$request_uri;
    }
    

    根据已经提到的pitfails , HTTP 301 Moved Permanently重定向也是最有效的,因为没有要评估的正则表达式。


    新的HTTP 308 Moved Permanently保留了 Request 方法,并受到主流浏览器的支持。例如,使用308可防止浏览器将请求方法从POST更改GET为重定向请求。


    如果您想保留主机名和子域,这就是方法。

    如果您没有 DNS ,这仍然有效,因为我也在本地使用它。例如,我请求http://192.168.0.100/index.php并将被重定向到完全https://192.168.0.100/index.php。

    我listen [::]:80在我的主机上使用,因为我bindv6only设置为false,所以它也绑定到 ipv4 套接字。listen 80如果您不想要 IPv6 或想在其他地方绑定,请将其更改为。

    Saif Bechan 的解决方案server_name在我的情况下使用的是 localhost 但无法通过网络访问。

    Michael Neale 的解决方案很好,但根据缺陷,重定向 301 有更好的解决方案;)

    • 129
  4. Oriol
    2015-08-01T11:50:48+08:002015-08-01T11:50:48+08:00

    在服务器块中,您还可以执行以下操作:

    # Force HTTPS connection. This rules is domain agnostic
    if ($scheme != "https") {
        rewrite ^ https://$host$uri permanent;
    }
    
    • 23
  5. Aleck Landgraf
    2012-06-25T20:29:06+08:002012-06-25T20:29:06+08:00

    以上不适用于一直创建的新子域。例如 AAA.example.com BBB.example.com 大约有 30 个子域。

    终于得到了一个使用以下内容的配置:

    server {
      listen 80;
      server_name _;
      rewrite ^ https://$host$request_uri? permanent;
    }
    server {
      listen  443;
      server_name example.com;
      ssl on;
      ssl_certificate /etc/ssl/certs/myssl.crt;
      ssl_certificate_key /etc/ssl/private/myssl.key;
      ssl_prefer_server_ciphers       on;
    # ...
    # rest of config here
    # ...
    }
    
    • 19
  6. Mahmoud Al-Qudsi
    2017-03-20T12:24:33+08:002017-03-20T12:24:33+08:00

    很久很久以前,我对正确答案发表了评论,其中有一个非常重要的更正,但我觉得有必要在其自己的答案中突出这个更正。如果您在任何时候都设置了不安全的 HTTP 并期望用户内容、有表单、托管 API 或配置了任何网站、工具、应用程序或实用程序来与您的站点对话,那么之前的答案都不能安全使用。

    POST向您的服务器发出请求时会出现此问题。如果服务器使用普通30x重定向响应,则 POST 内容将丢失。发生的情况是浏览器/客户端会将请求升级到 SSL,但将请求降级。参数将丢失,并且将向您的服务器发出不正确的请求。POSTGETPOST

    解决方案很简单。您需要使用HTTP 1.1 307重定向。这在 RFC 7231 S6.4.7 中有详细说明:

      Note: This status code is similar to 302 (Found), except that it
      does not allow changing the request method from POST to GET.  This
      specification defines no equivalent counterpart for 301 (Moved
      Permanently) ([RFC7238], however, defines the status code 308
      (Permanent Redirect) for this purpose).
    

    该解决方案改编自公认的解决方案,用于307您的重定向代码:

    server {
           listen         80;
           server_name    my.domain.com;
           return         307 https://$server_name$request_uri;
    }
    
    server {
           listen         443 ssl;
           server_name    my.domain.com;
           # add Strict-Transport-Security to prevent man in the middle attacks
           add_header Strict-Transport-Security "max-age=31536000"; 
    
           [....]
    }
    
    • 10
  7. stamster
    2016-04-22T10:27:43+08:002016-04-22T10:27:43+08:00

    我设法这样做:

    server {
    listen 80;
    listen 443 ssl;
    
    server_name domain.tld www.domain.tld;
    
    # global HTTP handler
    if ($scheme = http) {
            return 301 https://www.domain.tld$request_uri;
    }
    
    # global non-WWW HTTPS handler
    if ($http_host = domain.tld){
            return 303 https://www.domain.tld$request_uri;
    }
    }
    

    https://stackoverflow.com/a/36777526/6076984

    • 4
  8. MANCHUCK
    2017-01-05T09:09:18+08:002017-01-05T09:09:18+08:00

    我在 AWS ELB 后面运行 ngnix。ELB 通过 http 与 ngnix 对话。由于 ELB 无法向客户端发送重定向,因此我检查 X-Forwarded-Proto 标头并重定向:

    if ($http_x_forwarded_proto != 'https') {
        return 301 "https://www.exampl.com";
    }
    
    • 4
  9. Paul A Jungwirth
    2018-03-25T21:58:53+08:002018-03-25T21:58:53+08:00

    如果您return 301 https://$host$request_uri;作为端口 80 上的默认响应,那么您的服务器迟早会进入开放代理列表[1] 并开始被滥用以在 Internet 上的其他地方发送流量。如果您的日志中充满了这样的消息,那么您就知道它发生在您身上:

    42.232.104.114 - - [25/Mar/2018:04:50:49 +0000] "GET http://www.ioffer.com/i/new-fashion-fine-gold-bracelet-versaec-bracelet-641175733 HTTP/1.1" 301 185 "http://www.ioffer.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Hotbar 4.1.8.0; RogueCleaner; Alexa Toolbar)"
    

    问题是它$host会回显浏览器在Host标头中发送的任何内容,甚至是 HTTP 开头行中的主机名,如下所示:

    GET http://www.ioffer.com/i/new-fashion-fine-gold-bracelet-versaec-bracelet-641175733 HTTP/1.1
    

    由于这个问题,这里的一些其他答案建议使用$server_name而不是$host. $server_name总是评估你在server_name声明中的内容。但是,如果您在那里有多个子域或使用通配符,那将不起作用,因为$server_name只使用声明后的第一个条目server_name,更重要的是只会回显通配符(而不是扩展它)。

    那么如何在保持安全性的同时支持多个域呢?在我自己的系统上,我通过首先列出一个default_server不使用的块来处理这个困境$host,然后列出一个通配符块:

    server {
      listen 80 default_server;
      server_name example.com;
      return 301 https://example.com$request_uri;
    }
    server {
      listen 80;
      server_name *.example.com;
      return 301 https://$host$request_uri;
    }
    

    (您还可以在第二个块中列出多个域。)

    使用这种组合,不匹配的域将被重定向到硬编码的某个地方(总是example.com),并且与您自己的域匹配的域将转到正确的位置。您的服务器不会用作开放代理,因此您不会招来麻烦。

    如果你觉得不耐烦,我想你也可以让default_server区块不匹配你的合法域,并提供一些令人反感的东西。. . .

    [1] 从技术上讲,“代理”是错误的词,因为您的服务器不会出去并满足客户端的请求,只是发送重定向,但我不确定正确的词是什么。我也不确定目标是什么,但它会用噪音填满你的日志并消耗你的 CPU 和带宽,所以你不妨停止它。

    • 4
  10. Julius
    2019-03-01T09:21:24+08:002019-03-01T09:21:24+08:00

    似乎没有人真正做到 100% 正确。要让整个网络服务器的 80 端口请求转到它们的 443 等效项,您需要使用listen指令,而不是 server_name 指令来指定包罗万象的名称。另请参阅https://nginx.org/en/docs/http/request_processing.html

    服务器 {
        听 80 默认;
        听 [::]:80 默认;
          返回 307 https://$host$request_uri;
    }
    
    • $host 捕获子域名。
    • 307 和 308 包括 POST 和 GET 请求 URI。
    • 307是临时的,经过彻底测试后改为永久308:

    并确保检查 /etc/nginx/conf.d/ 中已有的内容,因为我经常遇到 default.conf 返回一些现有虚拟主机的问题。我处理 nginx 问题的顺序总是从移出默认文件开始,然后逐行注释掉它,看看哪里出了问题。

    • 2

相关问题

  • Gzip 与反向代理缓存

  • nginx 作为代理的行为

  • Nginx 学习资源 [关闭]

  • 提供 70,000 个静态文件 (jpg) 的最佳方式?

  • 在 Apache、LightTPD 和 Nginx Web 服务器上提供 PHP 5.x 应用程序的现状?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve