全站https虽然好,但也需要用户主动在地址栏输入https的协议名,然而用户输入网址,往往直接从域名开始输入,比如直接打
www.baidu.com,这样浏览器会默认用http协议访问,这就需要我们把用户从http自动导向https站点了。不过这倒是不难,只需往nginx的server配置中加入一个跳转的配置,就能完成:server {
listen 80;
listen 443 ssl;
server_name www.example.com example.com;
add_header Strict-Transport-Security "max-age=31536000";
if ( $scheme !~ "https" ) {
return 301 https://$host$requst_uri;
}
#......
}
新加入的
Strict-Transport-Security标头是遵循HSTS标准,浏览器看到这个header后就会记住当前网站支持安全加密访问。在max-age的时间内,浏览器会自动请求https的版本,而不是http的版本。后面的if语句意思是,如果用户连接协议不是https,就301永久重定向到https的版本。
