处理页面上 HTTP 和 HTTPS 链接的混合

Question

我的设置：Rails 3.0.9、Ruby 1.9.2

我的应用程序要求我的网站只有特定部分受 SSL 保护，其余部分不受 SSL 保护。如果有人认为这不是正常行为，请查看亚马逊。仅浏览产品时，它处于 HTTP 模式，在结帐时，它切换到 HTTPS。即使在安全结帐交易中，同一页面上还有其他几个仅 HTTP 链接。

我查看了 ssl_requirement gem 并决定不使用它，因为它不是满足我需求的完整解决方案。我最终设置了特定的 SSL 路由，例如

resources :projects do
    resources :tasks, :constraints => { :protocol => "https" }
end

在我看来，对于 HTTP 特定链接

<%= link_to 'Projects', project_url(@project, :protocol => "http") %>

并处理 HTTPS 特定链接

<%= link_to 'Task', new_project_task_url(@project, :protocol => "https") %>

我知道这不是最干净的方法，但这是我决定要做的。此设置的问题是如何在每个页面上正确设置 HTTP 和 HTTPS 链接。有一个建议的解决方案here，但它需要将 _path 批量更改为 _url，如果可能的话，我更愿意避免这种情况。解决方案涉及在

中添加此方法

application_helper.rb

module ApplicationHelper
  def url_for(options = nil)
    if Hash === options
      options[:protocol] ||= 'http'
    end
    super(options)
  end
end

所以我的问题是可以更改此方法或另一种方法以将 _path 调用更改为显式 url，以便我可以使用上述方法设置正确的协议。

Answer 1

你可以试试这个，虽然我不能 100% 确定它是否有效：

使用来自 stackoverflow 答案的建议更改

将此添加到 application_controll.rb：

class ApplicationController < ActionController::Base
  def url_options
    { :host => request.host }.merge(super)
  end
end

根据Docs，即使您使用_path，它也应该添加完整的url：

:only_path - 如果为 true，则返回相对 URL（省略协议， 主机名和端口）（默认为 true，除非指定了 :host）。

Answer 2

我的应用要求我的网站只有特定部分受 SSL 保护，其余部分不受 SSL 保护。

这是你错误的假设。安全前提是，如果您的某些应用程序需要 SSL，那么您的所有应用程序都需要 SSL。那么正确的假设是您的整个应用程序都需要 SSL。

如果您的应用需要 SSL，那么您应该使用像 rack-ssl 这样简单的东西，它设置 HSTS 标头并在所有响应中对 cookie 强制执行安全标志。