让nginx把http来访者重定向到https

连百度都已经开始全面支持https了——https加密网络上传输的数据，它在保护用户隐私和防止http注入攻击方面有着不错的效果。以前提供https的站长为了保证SEO，不得不对百度的搜索引擎往开一面，提供http的版本。现在已经可以放心地在全站用https提供服务了。

全站https虽然好，但也需要用户主动在地址栏输入https的协议名，然而用户输入网址，往往直接从域名开始输入，比如直接打www.baidu.com，这样浏览器会默认用http协议访问，这就需要我们把用户从http自动导向https站点了。不过这倒是不难，只需往nginx的server配置中加入一个跳转的配置，就能完成：

server {
    listen 80;
    listen 443 ssl;
    server_name www.example.com example.com;

    add_header Strict-Transport-Security "max-age=31536000";
    if ( $scheme !~ "https" ) {
        return 301 https://$host$request_uri;
    }
    #......
}

新加入的Strict-Transport-Security标头是遵循HSTS标准，浏览器看到这个header后就会记住当前网站支持安全加密访问。在max-age的时间内，浏览器会自动请求https的版本，而不是http的版本。后面的if语句意思是，如果用户连接协议不是https，就301永久重定向到https的版本。