访问 HTTP 和 HTTPS URL 时出现禁止错误

Question

我有一个网站（Liferay 门户 6.1 和 Tomcat 7.0），它的 HTTP 和 HTTPS URL 如下所示。

• https://stackoverflow.com/questions/ask

• https://stackoverflow.com/profile

我按照以下步骤操作，但出现了 Forbidden 错误：

1. 我在第二个 URL 中填写了一些表单详细信息。
2. 在提交该表单之前，我会在新选项卡中打开第一个 URL。
3. 然后，如果我回到第一个 URL 并进行提交，那么我发现了一个禁止错误。

我在两个选项卡上检查了 JSESSIONID，ID 相同。可能是什么问题？有什么想法吗？

Answer 1

不值得花时间让 http/https 混合模式工作 (in my opinion)。咬紧牙关，总是去https。即使您现在解决这个问题，您以后也可能会遇到更多问题，从而占用您更多的时间。当您遇到其他问题时，它们很可能是安全敏感的。

帮自己一个忙 - 无条件地将所有 http 流量重定向到 https。现在是 2016 年，这已经没有什么不寻常的地方了。

在您发表评论后进行编辑：尤其是如果它是一个旧系统（顺便说一下，当您提到 Liferay 6.1 时，这一点很明显。假设您使用的是 CE，它的更新时间很长） ：在您可以轻松上手的任何地方配置 https 的使用。无条件地添加 HSTS 标头以处理其余部分。无需触及任何古老的逻辑。例如。设置

web.server.protocol=https

在您的portal-ext.properties 中。无条件地将 HSTS 标头添加到您的 Apache httpd（假设您有 Apache httpd，否则请使用您的 this Liferay App）。