HSTS和HTTPS设置无效

时间:2019-06-13 02:34:31

标签: django-2.1

我按照django文档所述设置了几个设置,但遇到两个问题:

  1. SecurityMiddleware无效
  2. 一旦SECURE_SSL_REDIRECT = True网站将无法访问

SecurityMiddleware应该设置为Strict-Transport-Security: max-age=31536000; includeSubDomains是响应头,但是我通过chrome F12检查,响应头是这样的:

Connection: keep-alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Thu, 13 Jun 2019 02:18:17 GMT
Server: openresty/1.15.8.1
Set-Cookie: uid=e59e2b54f7d64a6799b0f160dc80fae6; expires=Sun, 10 Jun 2029 02:18:17 GMT; HttpOnly; Max-Age=315360000; Path=/
Transfer-Encoding: chunked
X-Frame-Options: SAMEORIGIN

其中没有严格的运输安全性

我使用nginx进行重定向,但是我仍然想知道为什么SECURE_SSL_REDIRECT = True导致网站无法访问网站,并且此设置是否还有其他影响? chrome显示ERR_TOO_MANY_REDIRECTS

Django设置:

MIDDLEWARE = [
   # 'django.middleware.cache.UpdateCacheMiddleware',
    'blog.middleware.user_id.UserIDMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

ALLOWED_HOSTS = ['www.xxxxxx.club']

#SECURE_SSL_REDIRECT = True
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

1 个答案:

答案 0 :(得分:0)

我弄清楚了这两个问题,两个是由相同原因引起的。 我使用nginx作为代理,并在nginx中将redirery HTTP设置为HTTPS,但是

  

使用代理和Django之间的非HTTPS连接,代理可能会“吞噬”请求为HTTPS的事实

因此django总是将HTTP请求设置为SECURE_SSL_REDIRECT = True,同时将所有http重定向设置为HTTPS,但是所有这些HTTPS将再次成为代理和Django之间的http,这就是导致无限重定向的原因。

如果SECURE_SSL_REDIRECT = False django不会从nginx重定向http,并且django只会在HTTPS响应标头中设置strict-transport-security,这就是为什么即使我的浏览器收到https响应(nginx,没有django),响应标头中没有strict-transport-security 所以我更改了一些设置:

  1. 在Django设置中设置SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
  2. 在nginx conf 443端口内的位置设置proxy_set_header X-Forwarded-Proto $scheme;

https://github.com/richardcornish/django-removewww/issues/1 https://docs.djangoproject.com/en/2.1/ref/settings/#std:setting-SECURE_PROXY_SSL_HEADER https://stackoverflow.com/a/41488430/11350098

相关问题
最新问题