如何将所有 HTTP 请求重定向到 HTTPS

Question

我正在尝试将我网站上的所有不安全 HTTP 请求（例如 http://www.example.com）重定向到 HTTPS (https://www.example.com)。如何在 .htaccess 文件中执行此操作？

顺便说一句，我正在使用 PHP。

Answer 1

Apache docs 建议不要使用重写：

要将http URL 重定向到https，请执行以下操作：

<VirtualHost *:80>
    ServerName www.example.com
    Redirect / https://www.example.com/
</VirtualHost>

<VirtualHost *:443>
    ServerName www.example.com
    # ... SSL configuration goes here
</VirtualHost>

这个sn-p应该进入主服务器配置文件，不进入.htaccess问题中询问。

这篇文章可能是在问题被提出和回答后才出现的，但似乎是当前的发展方向。

Answer 2

更新：虽然这个答案在几年前就被接受了，但请注意它的方法是 Apache 文档中的now recommended against。请改用Redirect。见this answer。

---

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Answer 3

我建议使用 301 重定向：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Answer 4

正如我在this question 中所说，我建议您避免盲目地将所有 HTTP 请求重定向到其 HTTPS 等效项，因为这可能会导致您对安全性产生错误印象。相反，您可能应该将 HTTP 站点的“根”重定向到 HTTPS 站点的根并从那里链接到 HTTPS。

问题在于，如果 HTTPS 站点上的某些链接或表单使客户端向 HTTP 站点发送请求，则在重定向之前其内容将是可见的。

例如，如果您通过 HTTPS 提供的某个页面的表单显示为 <form action="http://example.com/doSomething">，并且发送了一些不应以明文形式发送的数据，则浏览器将首先发送完整的请求（包括实体，如果它是POST) 首先到 HTTP 站点。重定向将立即发送到浏览器，并且由于大量用户禁用或忽略警告，因此很可能会被忽略。

当然，错误地提供了应该指向 HTTPS 站点但最终指向 HTTP 站点的链接，一旦您在与 HTTPS 相同的 IP 地址上的 HTTP 端口上侦听某些内容，则可能会导致问题地点。但是，我认为将这两个站点保持为“镜像”只会增加出错的机会，因为您可能倾向于假设它会通过将用户重定向到 HTTPS 来自动更正，但通常为时已晚。 （this question.也有类似讨论）

Answer 5

这是它有效的 html 重定向方法，但不是最好的。

 <meta http-equiv="Refresh" content="0;URL=https://www.example.com" />

PHP 方法

<?php
function redirectTohttps() {
    if ($_SERVER['HTTPS']!="on") {
        $redirect= "https://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
        header("Location:$redirect"); 
    } 
}
?>

.htaccess 方法

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

复制自： www.letuslook.org

Answer 6

我发现域上 https 和 www 的最佳方式是

RewriteCond %{HTTPS} off 
RewriteCond %{HTTPS_HOST} !^www.example.com$ [NC]
RewriteRule ^(.*)$ https://www.example.com/$1 [L,R=301]

Answer 7

我喜欢这种从 http 重定向到 https 的方法。因为我不需要为每个站点都编辑它。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Answer 8

最佳解决方案取决于您的要求。这是先前发布的答案的摘要，并添加了一些上下文。

如果您使用 Apache Web 服务器并且可以更改其配置，请按照Apache documentation：

<VirtualHost *:80>
    ServerName www.example.com
    Redirect "/" "https://www.example.com/"
</VirtualHost>

<VirtualHost *:443>
    ServerName www.example.com
    # ... SSL configuration goes here
</VirtualHost>

但您还询问是否可以在 .htaccess 文件中执行此操作。在这种情况下，您可以使用 Apache 的 RewriteEngine:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L]

如果一切正常并且您希望浏览器记住此重定向，您可以将最后一行更改为：

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

但是，如果您可能在此重定向上改变主意，请小心。浏览器会记住它很长时间，并且不会检查它是否改变了。

根据网络服务器配置，您可能不需要第一行 RewriteEngine On。

如果您正在寻找 PHP 解决方案，请查看 $_SERVER array 和 header function：

if (!$_SERVER['HTTPS']) {
    header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']); 
} 

Answer 9

在您的 .htaccess 文件中使用以下代码会自动将访问者重定向到您网站的 HTTPS 版本：

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

如果您有一个现有的 .htaccess 文件：

不要重复 RewriteEngine On。

确保以 RewriteCond 和 RewriteRule 开头的行紧跟在已经存在的 RewriteEngine On 之后。

Answer 10

这是根据 GoDaddy.com 使用 .htaccess 将 HTTP 重定向到 HTTPS 的正确方法。第一行代码是不言自明的。第二行代码检查 HTTPS 是否关闭，如果是，则通过运行第三行代码将 HTTP 重定向到 HTTPS，否则忽略第三行代码。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

https://www.godaddy.com/help/redirect-http-to-https-automatically-8828

Answer 11

将以下代码添加到 .htaccess 文件中：

Options +SymLinksIfOwnerMatch
RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule ^ https://[your domain name]%{REQUEST_URI} [R,L]

[your domain name] 是您网站的域名。

您还可以通过将上面代码的最后一行替换为以下代码来重定向特定文件夹：

RewriteRule ^ https://[your domain name]/[directory name]%{REQUEST_URI} [R,L]

Answer 12

按照上面解释的一切进行重定向。只需将“HTTP 严格传输安全”添加到您的标题中。这样可以避免中间人攻击。

编辑您的 apache 配置文件（例如 /etc/apache2/sites-enabled/website.conf 和 /etc/apache2/httpd.conf）并将以下内容添加到您的 VirtualHost：

# Optionally load the headers module:
LoadModule headers_module modules/mod_headers.so

<VirtualHost 67.89.123.45:443>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
</VirtualHost>

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Answer 13

要将所有 http 请求重定向到 https ，您可以使用：

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [NE,L,R]

如果未启用 mod-rewrite 并且您使用的是 apache 2.4，您还可以在 if 指令中使用 Redirect 将 http 请求重定向到 https。

Apache 2.4。

<if "%{HTTPS} !~ /on/">
Redirect / https://www.example.com/
</if>

Answer 14

如果您无法直接访问您网站的 apache 配置，而许多托管平台仍以这种方式受到限制，那么我实际上建议您采用两步法。 Apache 自己记录您应该首先使用他们的配置选项而不是 mod_rewrite for HTTP to HTTPS 的原因。

首先，如上所述，您将设置您的 .htaccess mod_rewrite 规则：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

然后，在您的 PHP 文件中（您需要在适合您情况的任何地方执行此操作，一些网站将通过单个 PHP 文件汇集所有请求，其他网站则根据他们的需要和请求）：

<?php if ($_SERVER['HTTPS'] != 'on') { exit(1); } ?>

上述代码需要在任何可能在不安全环境中暴露安全数据的代码之前运行。因此，您的网站通过 HTACCESS 和 mod_rewrite 使用自动重定向，而您的脚本确保在不通过 HTTPS 访问时不提供输出。

我想大多数人都不会这样想，因此 Apache 建议您尽可能不要使用这种方法。但是，它只需要在开发端进行额外检查，以确保您的用户数据是安全的。希望这可以帮助其他可能由于我们的托管服务限制而不得不考虑使用非推荐方法的人。

Answer 15

除非您需要 mod_rewrite 来处理其他事情，否则使用 Apache 核心 IF 指令更干净、更快：

<If "%{HTTPS} == 'off'">
Redirect permanent / https://yoursite.com/
</If>

您可以向 IF 指令添加更多条件，例如确保没有 www 前缀的单个规范域：

<If "req('Host') != 'myonetruesite.com' || %{HTTPS} == 'off'">
Redirect permanent / https://myonetruesite.com/
</If>

对所有事情都使用 mod_rewrite 有很多熟悉惯性，但看看这是否适合你。

更多信息：https://httpd.apache.org/docs/2.4/mod/core.html#if

要查看它的实际效果（尝试不使用 www. 或 https://，或使用 .net 而不是 .com）：https://nohodental.com/（我正在开发的网站）。

Answer 16

 Redirect 301 / https://example.com/

（当上述答案均无效时为我工作）

奖金：

ServerAlias www.example.com example.com

（固定 https://www.example.com 未找到）

Answer 17

将此代码交给您的 .htaccess 文件 Redirect HTTP to HTTPS automatically

RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Answer 18

以上内容仅适用于 Apache 服务器。如果在tomcat上运行PHP呢？

所以你可以使用PHP代码，无论是Apache/tomcat/Nginx等...

if (!((isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on') || (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) &&   
    $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https'))){
    $redirect = 'https://' . str_replace($_SERVER['SERVER_PORT'], 8443, $_SERVER['HTTP_HOST']) . $_SERVER['REQUEST_URI'];
    header('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $redirect);
    exit();
}

Answer 19

通过 .htaccess 这会有所帮助。

RewriteEngine On


RewriteBase /
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

另外，请参阅此以获取更多详细信息。 How To Redirect Http To Https?

Answer 20

我找到了一种方法，可以强制我网站的所有页面从 http 重定向到适用于我的 https 上的模拟页面。

RewriteEngine On 
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Answer 21

这会将所有 URL 重定向到 https 和 www

RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTPS_HOST} !^www.example.com$ [NC,OR]
RewriteCond %{HTTP_HOST} !^www.example.com$ [NC]
RewriteRule ^(.*)$ https://www.example.com/$1 [L,R=301]

Answer 22

如果您想从 tomcat 服务器执行此操作，请按照以下步骤操作

在独立的 Apache Tomcat (8.5.x) HTTP 服务器中，如何配置它，如果用户键入 www.domain.com，他们将自动转发到 https(www.domain.com) 站点。

在 [Tomcat_base]/conf/web.xml 结束标记前包含以下内容的两步法

step 1: 
<security-constraint>
<web-resource-collection>
<web-resource-name>HTTPSOnly</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

并设置 [Tomcat_base]/conf/server.xml 连接器设置：

step 2:
<Connector URIEncoding="utf-8" connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="443"/>
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="[keystorelocation]" type="RSA" />
</SSLHostConfig>
</Connector>

注意：如果您已经进行了 https 配置并尝试重定向，请仅执行第 1 步。

Answer 23

您不仅可以在 .htaccess 文件中执行此操作，还应该在此期间执行此操作。在实施此重定向后，您还需要按照步骤here 将您的网站列在 HSTS 预加载列表中，这样对您网站的不安全 http 版本的任何请求都不会通过用户代理。相反，用户代理检查请求的 URI 与仅 https 网站的烘焙列表，如果请求的 URI 在该列表中，则在将请求传输到服务器之前将协议从 http 更改为 https。因此，不安全的请求永远不会出现，也永远不会到达服务器。最终，当互联网切换到 https 时，将不再需要 HSTS 预加载列表。在那之前，每个网站都应该使用它。

为了执行重定向，我们需要启用重写引擎，然后将所有流量从 http 端口 80 重定向到 https。

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://yourwebsite.tld/$1 [L,R=301]

Answer 24

我尝试了所有可以在 Internet 上找到的 .htaccess 配置，但没有一个有效。 然后，我意识到Apache 不鼓励使用mod_rewrite。

我的解决方案是在以下文件夹下编辑 apache 配置文件： /etc/apache2/sites-enabled

您将拥有一个名为000-default.conf 的强制文件和一个名为000-default-le-ssl.conf 的ssl 配置文件（如果您已从letsencrypt/certbot 安装了ssl 证书）。但是，根据您在设置站点时提供的文件名，这些文件的名称可能会有所不同。

在000-default.conf 中，我在<VirtualHost *:80> 中将以下内容编辑为：

<VirtualHost *:80>
    ServerName example.com
    Redirect / https://example.com/
</VirtualHost>

在000-default-le-ssl.conf 中，我在<VirtualHost *:80> 中将以下内容编辑为：

<VirtualHost *:80>
    ServerName example.com
    Redirect / https://example.com/
</VirtualHost>

不需要其他重定向。

保存文件然后使用sudo service apache2 restart重启apache服务器

Answer 25

在考虑不带 www 和带 www 的情况下进行大量尝试后，这可行

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteCond %{HTTP_HOST} (www\.)?yourdomain.com
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Answer 26

如果您使用的是 Apache，mod_rewrite 是最简单的解决方案，并且有很多在线文档如何做到这一点。例如：http://www.askapache.com/htaccess/http-https-rewriterule-redirect.html

Answer 27

这个问题的另一个优势是负载均衡器开始发挥作用。

情况如下： - 从浏览器到负载均衡器并返回的流量是（应该是）HTTPS - 负载均衡器和实际 WebServer 之间的流量是 HTTP。

因此，PHP 或 Apache 中的所有服务器请求变量都表明连接只是 HTTP。并且Server上的HTTP和HTTPS目录是一样的。

已批准答案中的 RewriteCondition 不起作用。 它要么给出一个循环，要么就是不起作用。

问题是：如何让它在负载均衡器上工作。

（或者负载均衡器配置错误。这是我所希望的，因为这样我可以将问题转移到 WebHosting 公司 :-)）

Answer 28

如果您使用的是接受 https 流量并使用 http 将其路由到您的服务器的 Amazon Web Services 弹性负载均衡器，则此处描述了将所有 http 流量重定向到 https 的正确方法：https://aws.amazon.com/premiumsupport/knowledge-center/redirect-http-https-elb

使用始终包含在来自负载均衡器的 http 请求中的 X-Forwarded-Proto 标头（包含 http 或 https），如下所述：https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/x-forwarded-headers.html

在 httpd.conf 文件中：

<VirtualHost *:80>

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} =http
RewriteRule .* https://%{HTTP:Host}%{REQUEST_URI} [L,R=permanent]

</VirtualHost>

或者在你的根 .htaccess 文件中：

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} =http
RewriteRule .* https://%{HTTP:Host}%{REQUEST_URI} [L,R=permanent]

奖励：它不会尝试在本地开发机器上重定向 http 流量。

Answer 29

它对我有用：

<IfModule mod_rewrite.c>
 RewriteEngine On
  RewriteCond %{HTTPS} !on
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

例如，http://server/foo?email=someone%40example.com 可以正常重定向而不会出现任何问题。 位于网站根文件夹中的 .htaccess 文件（例如名为 public_html）。 可以使用 RewriteCond %{SERVER_PORT} !^443$ 而不是 RewriteCond %{HTTPS} !on