让nginx把http来访者重定向到https
连百度都已经开始全面支持https了——https加密网络上传输的数据,它在保护用户隐私和防止http注入攻击方面有着不错的效果。以前提供https的站长为了保证SEO,不得不对百度的搜索引擎往开一面,提供http的版本。现在已经可以放心地在全站用https提供服务了。
全站https虽然好,但也需要用户主动在地址栏输入https的协议名,然而用户输入网址,往往直接从域名开始输入,比如直接打www.baidu.com
,这样浏览器会默认用http协议访问,这就需要我们把用户从http自动导向https站点了。不过这倒是不难,只需往nginx的server配置中加入一个跳转的配置,就能完成:
server {
listen 80;
listen 443 ssl;
server_name www.example.com example.com;
add_header Strict-Transport-Security "max-age=31536000";
if ( $scheme !~ "https" ) {
return 301 https://$host$request_uri;
}
#......
}
新加入的Strict-Transport-Security
标头是遵循HSTS
标准,浏览器看到这个header后就会记住当前网站支持安全加密访问。在max-age
的时间内,浏览器会自动请求https的版本,而不是http的版本。后面的if语句意思是,如果用户连接协议不是https,就301永久重定向到https的版本。