Saya ingin menulis ulang semua permintaan http di server web saya menjadi permintaan https, saya mulai dengan yang berikut:

server {
    dengarkan 80;

    lokasi / {
      menulis ulang ^ (. *) https: //mysite.com$1 permanen;
    }
...

Satu Masalahnya adalah bahwa ini menghapus informasi subdomain (mis., Node1.mysite.com/folder), bagaimana saya bisa menulis ulang di atas untuk mengubah rute semuanya menjadi https dan mempertahankan sub-domain?

Cara yang benar dalam versi nginx baru

Ternyata jawaban pertama saya untuk pertanyaan ini benar pada waktu tertentu, tetapi itu berubah menjadi jebakan lain - untuk tetap up to date silakan periksa Perpajakan penulisan ulang perangkap

Saya telah dikoreksi oleh banyak pengguna SE, jadi kredit diberikan kepada mereka, tetapi yang lebih penting, ini adalah kode yang benar:

server {
       listen         80;
       server_name    my.domain.com;
       return         301 https://$server_name$request_uri;
}

server {
       listen         443 ssl;
       server_name    my.domain.com;
       # add Strict-Transport-Security to prevent man in the middle attacks
       add_header Strict-Transport-Security "max-age=31536000" always; 

       [....]
}

CATATAN: Cara terbaik untuk melakukan ini disediakan oleh https://serverfault.com/a/401632/3641 - tetapi diulangi di sini:

server {
    listen         80;
    return 301 https://$host$request_uri;
}

Dalam kasus yang paling sederhana, host Anda akan diperbaiki untuk menjadi layanan yang ingin Anda kirimi mereka - ini akan melakukan pengalihan ke browser dan URL browser akan diperbarui sesuai dengan itu.

Di bawah ini adalah jawaban sebelumnya, yang tidak efisien karena regex, 301 sederhana sangat bagus seperti yang ditunjukkan oleh @kmindi

Saya telah menggunakan nginx 0.8.39 ke atas, dan menggunakan yang berikut:

 server {
       listen 80;
       rewrite ^(.*) https://$host$1 permanent;
 }

Mengirim redirect permanen ke klien.

Saya pikir cara terbaik dan satu-satunya harus menggunakan HTTP 301 Moved redirect secara permanen seperti ini:

server {
    listen         [::]:80;
    return 301 https://$host$request_uri;
}

The HTTP 301 Moved Permanently redirect juga yang paling efisien karena tidak ada regex untuk dievaluasi, menurut yang telah disebutkan pitfails .

Baru HTTP 308 Moved Permanently mempertahankan metode Permintaan dan didukung oleh browser utama . Misalnya, menggunakan 308mencegah browser mengubah metode permintaan dari POSTmenjadi GETuntuk permintaan pengalihan.

Jika Anda ingin mempertahankan nama host dan subdomain, inilah caranya.

Ini masih berfungsi jika Anda tidak memiliki DNS , karena saya juga menggunakannya secara lokal. Saya meminta misalnya dengan http://192.168.0.100/index.phpdan akan diarahkan ke tepat https://192.168.0.100/index.php.

Saya menggunakan listen [::]:80pada host saya karena saya telah bindv6onlymenetapkan untuk false, sehingga juga mengikat socket ipv4. ubah ke listen 80jika Anda tidak ingin IPv6 atau ingin mengikat di tempat lain.

Solusi dari Saif Bechan menggunakan server_nameyang dalam kasus saya adalah localhost tetapi itu tidak dapat dijangkau melalui jaringan.

Solusi dari Michael Neale bagus, tetapi menurut pitfail, ada solusi yang lebih baik dengan redirect 301;)

Dalam blok server Anda juga dapat melakukan hal berikut:

# Force HTTPS connection. This rules is domain agnostic
if ($scheme != "https") {
    rewrite ^ https://$host$uri permanent;
}

Di atas tidak berfungsi dengan subdomain baru yang dibuat setiap saat. misalnya AAA.example.com BBB.example.com untuk sekitar 30 subdomain.

Akhirnya ada konfigurasi yang bekerja dengan yang berikut:

server {
  listen 80;
  server_name _;
  rewrite ^ https://$host$request_uri? permanent;
}
server {
  listen  443;
  server_name example.com;
  ssl on;
  ssl_certificate /etc/ssl/certs/myssl.crt;
  ssl_certificate_key /etc/ssl/private/myssl.key;
  ssl_prefer_server_ciphers       on;
# ...
# rest of config here
# ...
}

Saya mengirim komentar pada jawaban yang benar sejak dulu, dengan koreksi yang sangat penting, tetapi saya merasa perlu untuk menyoroti koreksi ini dalam jawabannya sendiri. Tidak satu pun dari jawaban sebelumnya yang aman digunakan jika pada suatu saat Anda memiliki HTTP yang tidak aman diatur dan mengharapkan konten pengguna, memiliki formulir, host API, atau telah mengkonfigurasi situs web, alat, aplikasi, atau utilitas untuk berbicara ke situs Anda.

Masalah terjadi ketika POSTpermintaan dibuat ke server Anda. Jika respons server dengan 30xpengalihan polos , konten POST akan hilang. Apa yang terjadi adalah bahwa browser / klien akan meningkatkan permintaan untuk SSL tapi downgrade yang POSTke GETpermintaan. The POSTparameter akan hilang dan permintaan yang salah akan dibuat ke server Anda.

Solusinya sederhana. Anda perlu menggunakan HTTP 1.1 307arahan ulang. Ini dirinci dalam RFC 7231 S6.4.7:

  Note: This status code is similar to 302 (Found), except that it
  does not allow changing the request method from POST to GET.  This
  specification defines no equivalent counterpart for 301 (Moved
  Permanently) ([RFC7238], however, defines the status code 308
  (Permanent Redirect) for this purpose).

Solusinya, diadaptasi dari solusi yang diterima, adalah untuk digunakan 307dalam kode pengalihan Anda:

server {
       listen         80;
       server_name    my.domain.com;
       return         307 https://$server_name$request_uri;
}

server {
       listen         443 ssl;
       server_name    my.domain.com;
       # add Strict-Transport-Security to prevent man in the middle attacks
       add_header Strict-Transport-Security "max-age=31536000"; 

       [....]
}

Saya berhasil melakukannya seperti ini:

server {
listen 80;
listen 443 ssl;

server_name domain.tld www.domain.tld;

# global HTTP handler
if ($scheme = http) {
        return 301 https://www.domain.tld$request_uri;
}

# global non-WWW HTTPS handler
if ($http_host = domain.tld){
        return 303 https://www.domain.tld$request_uri;
}
}

https://stackoverflow.com/a/36777526/6076984

Saya menjalankan ngnix di belakang AWS ELB. ELB sedang berbicara dengan ngnix melalui http. Karena ELB tidak memiliki cara untuk mengirim arahan ulang ke klien, saya memeriksa header X-Forwarded-Proto dan mengarahkan ulang:

if ($http_x_forwarded_proto != 'https') {
    return 301 "https://www.exampl.com";
}

Jika Anda return 301 https://$host$request_uri;sebagai respons default pada port 80, maka server Anda cepat atau lambat akan masuk dalam daftar proxy terbuka [1] dan mulai disalahgunakan untuk mengirim lalu lintas ke tempat lain di Internet. Jika log Anda diisi dengan pesan seperti ini, maka Anda tahu itu terjadi pada Anda:

42.232.104.114 - - [25/Mar/2018:04:50:49 +0000] "GET http://www.ioffer.com/i/new-fashion-fine-gold-bracelet-versaec-bracelet-641175733 HTTP/1.1" 301 185 "http://www.ioffer.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Hotbar 4.1.8.0; RogueCleaner; Alexa Toolbar)"

Masalahnya adalah bahwa $hostakan mengulang kembali apa pun yang dikirim browser di Hostheader atau bahkan nama host dari baris pembuka HTTP, seperti ini:

GET http://www.ioffer.com/i/new-fashion-fine-gold-bracelet-versaec-bracelet-641175733 HTTP/1.1

Karena masalah itu, beberapa jawaban lain di sini merekomendasikan menggunakan $server_namebukan $host. $server_nameselalu mengevaluasi apa yang Anda masukkan dalam server_namedeklarasi. Tetapi jika Anda memiliki beberapa subdomain di sana atau menggunakan wildcard, itu tidak akan berhasil, karena $server_namehanya menggunakan entri pertama setelah server_namedeklarasi, dan yang lebih penting hanya akan menggemakan kembali wildcard (tidak memperluasnya).

Jadi bagaimana cara mendukung banyak domain sambil menjaga keamanan? Pada sistem saya sendiri, saya telah menangani dilema ini dengan terlebih dahulu mendaftar default_serverblok yang tidak digunakan $host, dan kemudian daftar blok wildcard yang:

server {
  listen 80 default_server;
  server_name example.com;
  return 301 https://example.com$request_uri;
}
server {
  listen 80;
  server_name *.example.com;
  return 301 https://$host$request_uri;
}

(Anda juga bisa mencantumkan lebih dari satu domain di blok kedua.)

Dengan kombinasi itu, domain yang tidak cocok akan dialihkan ke tempat yang di-hardcode (selalu example.com), dan domain yang cocok dengan domain Anda akan menuju ke tempat yang tepat. Server Anda tidak akan berguna sebagai proxy terbuka, sehingga Anda tidak akan menarik masalah.

Jika Anda merasa sulit, saya kira Anda juga bisa membuat default_serverblok tidak cocok dengan domain Anda yang sah dan menyajikan sesuatu yang menyinggung. . . .

[1] Secara teknis "proxy" adalah kata yang salah, karena server Anda tidak keluar dan memenuhi permintaan untuk klien, hanya mengirim redirect, tetapi saya tidak yakin apa kata yang tepat. Saya juga tidak yakin apa tujuannya, tetapi mengisi log Anda dengan noise dan menghabiskan CPU dan bandwidth Anda, jadi sebaiknya Anda menghentikannya.

Sepertinya tidak ada yang benar-benar mendapatkannya 100% benar. Untuk meminta permintaan port 80 pergi ke 443 ekuivalennya untuk seluruh server web, Anda perlu menggunakan directive listen , bukan directive server_name untuk menentukan nama catch-all . Lihat juga https://nginx.org/en/docs/http/request_processing.html

server {
    dengarkan 80 default;
    dengarkan [::]: 80 default;
      kembali 307 https: // $ host $ request_uri;
}

• $ host menangkap nama subdomain.
• 307 dan 308 termasuk URI permintaan POST dan GET.
• 307 bersifat sementara, ubah ke Permanen 308 setelah pengujian menyeluruh:

Dan pastikan Anda memeriksa apa yang sudah ada di /etc/nginx/conf.d/ karena lebih sering saya tidak memiliki masalah di mana default.conf mengembalikan beberapa vhost yang ada. Pesanan saya untuk mengatasi masalah nginx selalu dimulai dengan memindahkan file default, mengembalikannya mengomentari baris demi baris untuk melihat kesalahannya.

rewrite ^!https https://$host$request_uri permanent;