HTTPS 重定向仅在页面重新加载时有效

Question

我在我的页面上安装了 SSL 证书，该证书运行 Node.js + Express 应用程序，将 Express 服务器配置为始终强制重定向到 HTTPs 并且一切正常，除了 https 重定向仅在页面重新加载时有效或者当再次按下 Enter 键时。我录制了一个 gif 来展示会发生什么：

http://recordit.co/uBiW3bcQCM

这是我的 Express 配置。

var express = require('express');
var path = require('path');
var serveStatic = require('serve-static');

var forceSsl = function (req, res, next) {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  return next();
};

app = express();
app.use(serveStatic(__dirname));

if(process.env.NODE_ENV === 'production') {
  app.use(forceSsl);
}

app.all('/*', function(req, res) {
  res.sendfile('index.html');
});

var port = process.env.PORT || 5000;
app.listen(port);

console.log('server started '+ port);

我的应用程序在 Heroku 上运行。谁能帮我看看发生了什么？

提前致谢。

Answer 1

这个 redirectToHTTPS() 中间件应该适合你。即使用户不提供前缀，它也会重定向到 https 站点。添加X-Forwarded-Port 用于标识用于 https 站点的端口。

function redirectToHTTPS () {
  return function middlewareRedirectToHTTPS (req, res, next) {
    const isNotSecure = (!req.get('x-forwarded-port') && req.protocol !== 'https') ||
      parseInt(req.get('x-forwarded-port'), 10) !== 443
    if (isNotSecure) {
      return res.redirect('https://' + req.get('host') + req.url)
    }
    next()
}
}

Answer 2

我认为您的服务器在发送重定向标头之前正在发送内容。

如果你交换：

app.use(serveStatic(__dirname));
app.use(forceSsl);

为：

app.use(forceSsl);
app.use(serveStatic(__dirname));

它似乎工作得更好！

您的浏览器在重新加载/输入时执行重定向的原因对我来说是模糊的，因为我无法重现该行为。在FF上，我从未被重定向。

这可能是由于请求标头不同，例如 HEAD，而不是 GET，或其他。我无法对此进行更多调查，使用 Wireshark 或 Burpsuite 来确切了解会发生什么，如果这仍然很重要...