为什么https被redirect成了http?

最新推荐文章于 2025-01-03 10:45:02 发布
原创 最新推荐文章于 2025-01-03 10:45:02 发布 · 2.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web.xml

本文探讨了全站HTTPS的实现细节,特别是SSL卸载的概念和技术。通过将SSL配置在负载均衡器上,并处理握手后将解密的HTTPS数据转发给后台Web服务器,实现了内网非加密HTTP传输。文章还介绍了如何确保重定向始终保持HTTPS状态的方法。
全站HTTPS并不是配置证书CA,改改路径URL那么简单!

SSL卸载(SSL Offloading):把SSL配置在负载均衡器上,然后通过其处理握手之后将decode的https数据转发给后台的Web服务器。
如下构成:

|
|(https)
|
Load Balancer
/ | \
/ | \
/(http) |(http) \(http)
WebServer1 WebServer2 WebServer3

HTTPS的加密传输将只限于客户端发起请求到负载均衡器之间的公网阶段,内网的通讯仍然使用非加密的HTTP传输。每个Web服务器中所有的处理请求都认为是来自http,[b]所有相对路径的 sendredirect 将都会被转发到http![/b]

比如在Filter或Interceptor里的sendRedirect:
response.sendRedirect(request.getContextPath() + "/admin/welcome.do?flag=timeout");

或者Spring的Controller里的“redirect:”:
return "redirect:/admin/welcome.do";


通过HttpServletResponseWrapper可以通过Filter拦截SendRedirect请求并固定跳转到HTTPS。

web.xml
<filter>
  <filter-name>AbsoluteSendRedirectFilter</filter-name>
  <filter-class>com.rensanning.core.filter.AbsoluteSendRedirectFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>AbsoluteSendRedirectFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>


AbsoluteSendRedirectFilter.java
public class AbsoluteSendRedirectFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        RedirectResponseWrapper redirectResponseWrapper = new RedirectResponseWrapper(request, response);
        filterChain.doFilter(request, redirectResponseWrapper);
    }

}


RedirectResponseWrapper.java
public class RedirectResponseWrapper extends HttpServletResponseWrapper {

    private final HttpServletRequest request;

    public RedirectResponseWrapper(final HttpServletRequest inRequest, final HttpServletResponse response) {
        super(response);
        this.request = inRequest;
    }

    @Override
    public void sendRedirect(final String pLocation) throws IOException {

        if (StringUtils.isBlank(pLocation)) {
            super.sendRedirect(pLocation);
            return;
        }

        try {
            final URI uri = new URI(pLocation);
            if (uri.getScheme() != null) {
                super.sendRedirect(pLocation);
                return;
            }
        } catch (URISyntaxException ex) {
            super.sendRedirect(pLocation);
        }

        // !!! FIX Scheme  !!!
        String finalurl = "https://" + this.request.getServerName();
        if (request.getServerPort() != 80 && request.getServerPort() != 443) {
            finalurl += ":" + request.getServerPort();
        }
        finalurl += pLocation;

        super.sendRedirect(finalurl);
    }

}


如果采用Spring的话可以设置:redirectHttp10Compatible=false。
<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
  <property name="viewClass" value="org.springframework.web.servlet.view.JstlView" />
  <property name="prefix" value="/" />
  <property name="suffix" value=".jsp" />
  <property name="redirectHttp10Compatible" value="false" />
</bean>


参考:
http://www.exampit.com/blog/javahunter/5-8-2016-Why-does-https-become-http-on-a-sendredirect
http://stackoverflow.com/questions/3401113/spring-mvc-redirect-prefix-always-redirects-to-http-how-do-i-make-it-stay
Nginx将https重定向为http进行访问的配置(附Demo)
码农研究僧的博客
05-21 2765
由于网站默认无配置https,但输入网址的时候浏览器默认带https,导致网页一直无法访问
Vue - Redirected when going from “/login?redirect=%2Fdashboard“ to “/dashboard“ via a navigation
🏆 前端领域优质创作者
02-12 8406
报错原因 permission.js中next({...to,replace:true})会被认为是一个失败的navigation, 虽然能导航功,但不再是原来的to,所以login里的push()返回一个rejectedPromise。 Error:Redirectedwhengoingfrom“/login?redirect=%2Fdashboard“to“/dashboard“viaanavigation 解决方案 以下两种方案,请根据实际情况选
httpsredirecthttp
热门推荐
zhuye1992的专栏
05-29 3万+
一、httpsredirecthttp近期项目中踩到一个坑,记录下来,以免后面再踩。背景:目前项目并不是全站的https,而是仅在F5上配置了https,其架构大致下面这样(这里先省略架构中的apache):. 浏览器 | |(https) F5 (LoadBa...
Https被sendRedirectHttp
successli的个人博客
09-12 9243
遇到的问题 最近,在项目中遇到了一个比较棘手的问题: 项目服务器通过nignx配置CA证书,将https请求转发到http,从而支持https 项目前后端分离,后台向前端提供restapi接口 后台也配置了https转发,支持https请求 当前端调用后台某个接口时,后台内部使用 sendRedirect 做服务器内部跳转,服务器内部跳转之后,返回给前端的是一个http请求,导致前端不支持h...
https-redirect:一个用于将HTTP流量重定向到https的小应用
04-17
HTTPS重定向 一个超小型快递应用程序,用于将流量从http重定向到https。 用法 克隆此存储库。 在其中运行npm install 。 运行npm run start 。 重定向服务器现在应该正在运行。 笔记 您可以使用systemctl在Ubuntu上设置服务,以自动启动和重新启动服务器。 在此存储库的根目录中检出https-redirect.service 。
redirect跳转https变为http问题的深入思考
snail-jie的博客
11-27 1万+
背景 服务部署以及跳转展示如下: 用户https请求通过阿里云负载通过http到指定应用,应用返回跳转路径(状态为302),但跳转路径为http(不为https),所以访问不了 2.1 跳转伪代码: // ModelAndView mv.setViewName(WebCst.REDIRECT + "/admin/sso/login"); 2.2 浏览器跳转截图 跳转的Location是如何生的 后台是以springboot进行开发的,下面的分析都是基于springboot方式进行
解决springmvc中使用redirect跳转后https变为http
weixin_30711917的博客
08-30 1266
方法一:配置文件修改ViewResolver的 redirectHttp10Compatible属性,这个属性是为了兼容 http1.0协议。 <bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property n...
https协议经过SpringMVC重定向之后变http协议
weixin_51689532的博客
08-28 1543
https 协议经过 SpringMVC 重定向之后变 http 协议
一招解决重定向难题:为什么使用HTTPS就能避免308和307重定向?
weixin_45593273的博客
12-18 1582
今天在上线的时候,遇到一个重定向的问题。在使用postman或者在shell终端通过curl命令直接调用API的时,请求能到达服务端并响应。然而,通过http客户端发起请求,使用公网的域名就会显示308,永久重定向。而内网的域名就会显示307,临时重定向。我的url如下,使用的是http协议。先说结论,
DVWA靶场Open HTTP Redirect (重定向) 漏洞所有级别通关教程及源码审计
m0_74786138的博客
01-03 1698
HTTP 重定向(HTTP Redirect Attack)是一种网络,利用 HTTP 协议中的重定向机制,将用户引导至恶意网站或非法页面,进而进行钓鱼、恶意软件传播等恶意行为。HTTP 重定向是一种用于通知客户端(如浏览器)请求的资源已被移动到另一个位置的机制,通常由服务器发送 3xx 系列状态码响应。HTTP 重定向主要利用了合法的重定向机制,通过各种方式将用户重定向到恶意网站。:永久重定向,表示请求的资源已被永久移动到新的 URL。:临时重定向,表示请求的资源临时在另一个 URL 上。
nginx反向代理tomcat 时,出现https redirect后变http的问题解决方法
redlevin的专栏
08-02 2446
需要修改两个地方 nginx 的修改 location / { proxy_pass http://test-server; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwa...
https redirecthttp 的解决方式
疯狂小草的博客
01-06 1万+
问题描述 网站是https的,但是使用了HttpServletResponse.sendRedirect的方法,使相对路径的地址跳转到了http网址(80端口),而不是https(443端口)。 导致了很多问题,例如(用户一次请求,结果多次才能访问上,影响体验、http被访问,其实不被希望、被安全的浏览器认为你在反复重定向,直接kill你的请求!) 看了一些博客,下面是总结的解决方案 解决方案...
HttpServletRequest.getScheme 结果总是http的解决办法
程序员
01-17 3487
HttpServletRequest.getScheme 获取的结果总是http 的解决办法 nginx.conf 中加入转发scheme, proxy_set_header X-Forwarded-Proto $scheme;  
https请求Nginx转发给tomcat时变http问题解决
每天进步一点点
12-21 1505
目录 1. Nginx 配置 2.修改tomcat配置: 1. Nginx 配置 upstream aaaaa_run { #weight 指定轮询几率,weight和访问比率正比,用于后端服务器性能不均的情况。 #ip_hash 每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。 #fair(第三方) 按后端服务...
处理laravel配置nginx反向代理https后获取request的url变http问题
kalulioo的博客
01-20 3519
项目中使用了nginx作为前端反向代理服务器并用了https,但是发现问题:后端服务器用laravel的request获取的url协议变http。 原因很简单前端443反向代理到了后端80,理论上就应该是http。如何使后端laravel的request能获取前端https的url呢?根据request->url()源码可以看到决定httphttps的是方法isSecure(),is...
用SSL访问https时重定位到http的问题
jjliang2的专栏
10-29 527
今天做项目时遇到了取消数据登录,页面重定位时页面无法显示的问题。 数据登录→取消数据登录时利用response.sendRedirect进行重定位。 使用SSL Accelerator时, 客户端访问URL:https://host.domain/context/●●.jsp tomcat接受的URL:http://host.domain/context/●●.jsp https...
response.sendRedirect( url ) 吃掉 http:// 中的一个 '/'
问道至简
04-11 1226
版本: javax.servelet-api:3.1.0.jar response.sendRedirect( url ) 吃掉 http:// 中的一个 ‘/’ 例如 : 原始URL : http://localhost:8080 变 http:/localhost:8080 原因: url 中参数中有空格字符。 例如: http://localhost:8080/face?time= 123...
ASP.NET Core WebAPI从HTTPS调整为HTTP启动
gc_2299的博客
01-24 3585
ASP.NET Core WebAPI从HTTPS调整为HTTP启动
解决重定向页面时,httpshttp问题
panying941206的博客
10-08 4908
重定向页面后,httpshttp
接口提示 307 Temporary Redirect 是什么意思?
最新发布
06-30
### HTTP 307 Temporary Redirect 状态码的含义 HTTP 307 Temporary Redirect 是一种用于指示客户端临时重定向到另一个 URL 的状态码。与传统的 301 或 302 状态码不同,307 明确要求客户端在重定向请求时保持原始请求方法(如 POST)不变,除非用户明确确认更改 [^1]。 #### 1. 307 与其他重定向状态码的区别 - **301 Moved Permanently** 和 **302 Found**:这两个状态码通常表示资源已被永久或临时移动,但浏览器在处理非 GET 或 HEAD 请求时可能不会自动重定向,或者会将 POST 请求转换为 GET 请求 。 - **303 See Other**:该状态码明确指示客户端应使用 GET 方法重新请求新的 URL,即使原始请求是 POST 或其他方法 [^2]。 - **307 Temporary Redirect**:与 303 不同,307 要求客户端必须保持原始请求方法不变,并且仅在临时重定向的情况下使用 [^2]。 #### 2. 307 的典型应用场景 307 常用于需要保留原始请求方法和请求体的场景,例如: - 在进行表单提交后,服务器希望将请求临时重定向到另一个地址,同时确保客户端继续使用 POST 方法发送数据 [^2]。 - 避免因浏览器自动将 POST 请求转换为 GET 请求而导致的数据丢失问题 [^1]。 #### 3. 如何处理 307 Temporary Redirect 当客户端接收到 307 状态码时,它应该检查响应头中的 `Location` 字段,并根据该字段提供的 URL 发起新的请求。在此过程中,客户端应保持原始请求方法不变 [^2]。 ##### 示例代码 以下是一个简单的 Java Servlet 示例,展示如何返回 307 状态码并设置重定向 URL: ```java import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; public class Http307TestServlet extends HttpServlet { private static final long serialVersionUID = 7047368191379656914L; static final String tempRedirectUrl = "http://www.baidu.com"; @Override public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { resp.setStatus(307); resp.setHeader("Location", tempRedirectUrl); PrintWriter p = resp.getWriter(); p.println("Location:" + tempRedirectUrl); p.println("Note: this is 307 redirect Url."); p.close(); } } ``` #### 4. 307 的潜在问题及解决方法 - **问题 1:客户端不支持 307** - 某些旧版本的浏览器或客户端可能无法正确处理 307 状态码,导致请求失败。 - **解决方法**:建议在服务器端提供兼容性处理逻辑,例如回退到 302 并附加提示信息,确保客户端能够正常处理重定向。 - **问题 2:POST 请求被错误转换为 GET 请求** - 即使服务器返回 307 状态码,某些代理或中间件可能会错误地将 POST 请求转换为 GET 请求。 - **解决方法**:确保服务器和中间件配置正确,并严格遵循 HTTP/1.1 规范 [^2]。 - **问题 3:安全性和数据泄露风险** - 如果重定向的目标 URL 包含敏感信息,可能会导致数据泄露。 - **解决方法**:避免在 `Location` 头中包含敏感信息,并使用 HTTPS 加密通信以保护数据安全 [^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值