HSTS 和 HTTPS 设置无效
HSTS and HTTPS settings Invalid
我按照 django 文档设置了几个设置,但是我遇到了两个问题:
SecurityMiddleware
没用
- 一旦
SECURE_SSL_REDIRECT = True
网站将无法访问
SecurityMiddleware
应该设置 Strict-Transport-Security: max-age=31536000; includeSubDomains
是响应头,但我通过 chrome F12 检查,响应头是这样的:
Connection: keep-alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Thu, 13 Jun 2019 02:18:17 GMT
Server: openresty/1.15.8.1
Set-Cookie: uid=e59e2b54f7d64a6799b0f160dc80fae6; expires=Sun, 10 Jun 2029 02:18:17 GMT; HttpOnly; Max-Age=315360000; Path=/
Transfer-Encoding: chunked
X-Frame-Options: SAMEORIGIN
里面没有严格的传输安全
我用的是nginx重定向,但是我还是想知道为什么SECURE_SSL_REDIRECT = True
会导致网站无法访问,这个设置是否有其他影响?
chrome 显示 ERR_TOO_MANY_REDIRECTS
django 设置:
MIDDLEWARE = [
# 'django.middleware.cache.UpdateCacheMiddleware',
'blog.middleware.user_id.UserIDMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
ALLOWED_HOSTS = ['www.xxxxxx.club']
#SECURE_SSL_REDIRECT = True
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True
我想出了这两个问题,同一个原因引起的两个问题。
我使用 nginx 作为代理并在 nginx 中将重定向 HTTP 设置为 HTTPS,但是
the proxy may be “swallowing” the fact that a request is HTTPS, using a non-HTTPS connection between the proxy and Django
所以 django 总是收到 HTTP 请求,同时设置 SECURE_SSL_REDIRECT = True
所有 http 重定向到 HTTPS,但是所有这些 HTTPS 将再次成为代理和 Django 之间的 http,这就是导致无限重定向的原因。
如果 SECURE_SSL_REDIRECT = False
django 不会从 nginx 重定向 http,并且 django 只会在 HTTPS 响应 header 中设置 strict-transport-security
,这就是为什么即使我的浏览器收到 https 响应(通过nginx,没有 django),没有 strict-transport-security
响应 header
所以我更改了一些设置:
- 在 django 设置中设置
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
- 在nginx conf
的443端口内的位置设置proxy_set_header X-Forwarded-Proto $scheme;
https://github.com/richardcornish/django-removewww/issues/1
https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SECURE_PROXY_SSL_HEADER
https://whosebug.com/a/41488430/11350098
我按照 django 文档设置了几个设置,但是我遇到了两个问题:
SecurityMiddleware
没用- 一旦
SECURE_SSL_REDIRECT = True
网站将无法访问
SecurityMiddleware
应该设置 Strict-Transport-Security: max-age=31536000; includeSubDomains
是响应头,但我通过 chrome F12 检查,响应头是这样的:
Connection: keep-alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Thu, 13 Jun 2019 02:18:17 GMT
Server: openresty/1.15.8.1
Set-Cookie: uid=e59e2b54f7d64a6799b0f160dc80fae6; expires=Sun, 10 Jun 2029 02:18:17 GMT; HttpOnly; Max-Age=315360000; Path=/
Transfer-Encoding: chunked
X-Frame-Options: SAMEORIGIN
里面没有严格的传输安全
我用的是nginx重定向,但是我还是想知道为什么SECURE_SSL_REDIRECT = True
会导致网站无法访问,这个设置是否有其他影响?
chrome 显示 ERR_TOO_MANY_REDIRECTS
django 设置:
MIDDLEWARE = [
# 'django.middleware.cache.UpdateCacheMiddleware',
'blog.middleware.user_id.UserIDMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
ALLOWED_HOSTS = ['www.xxxxxx.club']
#SECURE_SSL_REDIRECT = True
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True
我想出了这两个问题,同一个原因引起的两个问题。 我使用 nginx 作为代理并在 nginx 中将重定向 HTTP 设置为 HTTPS,但是
the proxy may be “swallowing” the fact that a request is HTTPS, using a non-HTTPS connection between the proxy and Django
所以 django 总是收到 HTTP 请求,同时设置 SECURE_SSL_REDIRECT = True
所有 http 重定向到 HTTPS,但是所有这些 HTTPS 将再次成为代理和 Django 之间的 http,这就是导致无限重定向的原因。
如果 SECURE_SSL_REDIRECT = False
django 不会从 nginx 重定向 http,并且 django 只会在 HTTPS 响应 header 中设置 strict-transport-security
,这就是为什么即使我的浏览器收到 https 响应(通过nginx,没有 django),没有 strict-transport-security
响应 header
所以我更改了一些设置:
- 在 django 设置中设置
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
- 在nginx conf 的443端口内的位置设置
proxy_set_header X-Forwarded-Proto $scheme;
https://github.com/richardcornish/django-removewww/issues/1 https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SECURE_PROXY_SSL_HEADER https://whosebug.com/a/41488430/11350098