[security] 모든 HTTP 요청을 HTTPS로 리디렉션하는 방법

이 질문 에서 말했듯 이 보안에 대한 잘못된 인상을 줄 수 있으므로 모든 HTTP 요청을 해당 HTTPS로 맹목적으로 리디렉션하지 않는 것이 좋습니다. 대신 HTTP 사이트의 “루트”를 HTTPS 사이트의 루트로 리디렉션하고 거기에서 HTTPS로만 연결해야합니다.

문제는 HTTPS 사이트의 일부 링크 또는 양식으로 인해 클라이언트가 HTTP 사이트로 요청을 보내면 리디렉션 전에 컨텐츠가 표시된다는 것입니다.

예를 들어, HTTPS를 통해 제공되는 페이지 중 하나 <form action="http://example.com/doSomething">에 명확하게 보내지 말아야 할 일부 데이터를 전송 하는 양식이있는 경우 브라우저는 먼저 전체 요청 (엔터티, POST 인 경우)을 HTTP 사이트로 보냅니다. 먼저. 리디렉션은 브라우저로 즉시 전송되며 많은 사용자가 경고를 비활성화하거나 무시하므로 무시 될 수 있습니다.

물론, HTTPS 사이트로 연결되어야하지만 HTTP 사이트에 대한 링크를 제공하는 실수는 HTTPS 사이트와 동일한 IP 주소의 HTTP 포트에서 무언가 수신 대기하는 즉시 문제를 일으킬 수 있습니다. 그러나 두 사이트를 “미러”로 유지하면 사용자가 HTTPS로 리디렉션하여 자동으로 수정한다고 가정하는 경향이있을 수 있지만 실수는 너무 늦기 때문에 실수 할 가능성이 높아질 뿐이라고 생각합니다. ( 이 질문 에서 비슷한 토론이있었습니다 . )

답변

RewriteCond %{HTTPS} off
RewriteCond %{HTTPS_HOST} !^www.example.com$ [NC]
RewriteRule ^(.*)$ https://www.example.com/$1 [L,R=301]

 <meta http-equiv="Refresh" content="0;URL=https://www.example.com" />

<?php
function redirectTohttps() {
    if ($_SERVER['HTTPS']!="on") {
        $redirect= "https://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
        header("Location:$redirect");
    }
}
?>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]