标签 https 下的文章

让nginx把http来访者重定向到https

连百度都已经开始全面支持https了——https加密网络上传输的数据,它在保护用户隐私和防止http注入攻击方面有着不错的效果。以前提供https的站长为了保证SEO,不得不对百度的搜索引擎往开一面,提供http的版本。现在已经可以放心地在全站用https提供服务了。

全站https虽然好,但也需要用户主动在地址栏输入https的协议名,然而用户输入网址,往往直接从域名开始输入,比如直接打www.baidu.com,这样浏览器会默认用http协议访问,这就需要我们把用户从http自动导向https站点了。不过这倒是不难,只需往nginx的server配置中加入一个跳转的配置,就能完成:

server {
    listen 80;
    listen 443 ssl;
    server_name www.example.com example.com;

    add_header Strict-Transport-Security "max-age=31536000";
    if ( $scheme !~ "https" ) {
        return 301 https://$host$request_uri;
    }
    #......
}

新加入的Strict-Transport-Security标头是遵循HSTS标准,浏览器看到这个header后就会记住当前网站支持安全加密访问。在max-age的时间内,浏览器会自动请求https的版本,而不是http的版本。后面的if语句意思是,如果用户连接协议不是https,就301永久重定向到https的版本。