HSTS 和 HTTPS 设置无效

HSTS and HTTPS settings Invalid

我按照 django 文档设置了几个设置,但是我遇到了两个问题:

  1. SecurityMiddleware 没用
  2. 一旦SECURE_SSL_REDIRECT = True网站将无法访问

SecurityMiddleware 应该设置 Strict-Transport-Security: max-age=31536000; includeSubDomains 是响应头,但我通过 chrome F12 检查,响应头是这样的:

Connection: keep-alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Thu, 13 Jun 2019 02:18:17 GMT
Server: openresty/1.15.8.1
Set-Cookie: uid=e59e2b54f7d64a6799b0f160dc80fae6; expires=Sun, 10 Jun 2029 02:18:17 GMT; HttpOnly; Max-Age=315360000; Path=/
Transfer-Encoding: chunked
X-Frame-Options: SAMEORIGIN

里面没有严格的传输安全

我用的是nginx重定向,但是我还是想知道为什么SECURE_SSL_REDIRECT = True会导致网站无法访问,这个设置是否有其他影响? chrome 显示 ERR_TOO_MANY_REDIRECTS

django 设置:

MIDDLEWARE = [
   # 'django.middleware.cache.UpdateCacheMiddleware',
    'blog.middleware.user_id.UserIDMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

ALLOWED_HOSTS = ['www.xxxxxx.club']

#SECURE_SSL_REDIRECT = True
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

我想出了这两个问题,同一个原因引起的两个问题。 我使用 nginx 作为代理并在 nginx 中将重定向 HTTP 设置为 HTTPS,但是

the proxy may be “swallowing” the fact that a request is HTTPS, using a non-HTTPS connection between the proxy and Django

所以 django 总是收到 HTTP 请求,同时设置 SECURE_SSL_REDIRECT = True 所有 http 重定向到 HTTPS,但是所有这些 HTTPS 将再次成为代理和 Django 之间的 http,这就是导致无限重定向的原因。

如果 SECURE_SSL_REDIRECT = False django 不会从 nginx 重定向 http,并且 django 只会在 HTTPS 响应 header 中设置 strict-transport-security,这就是为什么即使我的浏览器收到 https 响应(通过nginx,没有 django),没有 strict-transport-security 响应 header 所以我更改了一些设置:

  1. 在 django 设置中设置 SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
  2. 在nginx conf
  3. 的443端口内的位置设置proxy_set_header X-Forwarded-Proto $scheme;

https://github.com/richardcornish/django-removewww/issues/1 https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SECURE_PROXY_SSL_HEADER https://whosebug.com/a/41488430/11350098