通过 https 发出原始请求时在 Location-header 中获取 http

【问题标题】:Getting http in the Location-header when the original request was made over https通过 https 发出原始请求时在 Location-header 中获取 http
【发布时间】:2019-05-29 17:14:48
【问题描述】:

我的问题:

1) 当来自浏览器的原始请求是使用 https 发出时,为什么我在 Location-header 中获得 http 作为方案?

2) 这是一个 Wildfly 负载均衡器问题吗?

我的请求标头是:

method: POST
scheme: https
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9
content-length: 39
content-type: application/x-www-form-urlencoded
origin: https://10.43.201.207
referer: https://10.43.201.207/myapp/login.html

我的响应标头是:

content-length: 0
date: Thu, 03 Jan 2019 04:55:42 GMT
location: http://10.43.201.207/myapp/dashboard.html?init=1
server: WildFly/12
set-cookie: APP_AUTH=leTPWYd1222zsrrtRRtgpuEWEWc7pR0CBuNPYPT5QHbGn_Db7ICK; path=/; secure; HttpOnly
set-cookie: JSESSIONID="leTee33333PWYdSDSDweetRRtgpuc7pR0CBuNPYPT5QHbGn_Db7ICK.master-0:master-server"; Version=1; Path=/myapp; Secure; HttpOnly
status: 302
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-powered-by: Undertow/1
x-xss-protection: 1; mode=block

【问题讨论】:

  • 这似乎是一个重定向。
  • 嗨罗伯特,是的,它只是重定向,但我们并不是说像使用 http 重定向。在我们的 LoginServlet 代码中,我们在 doPost 方法 response.sendRedirect("dashboard.html" ); 中编写如下
  • 在评论您的问题之前,我做了一些研究。这似乎表明可以在实现 TLS 握手之前发生重定向。
  • 那么我是否需要将我的 LoginServlet 代码更改为 http 替换为 https ?还是我缺少一些负载均衡器配置?
  • 您好,我对此一无所知,为什么响应标头以 http 形式出现,有人可以在这里建议我如何解决这个问题吗?

标签: http ssl redirect https undertow


【解决方案1】:

负载均衡器是否剥离了 TLS 并将请求作为 HTTP 转发到应用程序?如果是这样,那么应用程序在执行重定向时,它可能使用与接收请求相同的协议。

如果是这种情况,要么让应用强制https,要么让负载平衡器重写返回的响应。

您可能需要设置proxy-address-forwarding="true" 和/或request_header_add X-Forwarded-Proto https

【讨论】:

  • 嗨 Mennon,我该如何检查: - 负载均衡器正在剥离 TLS 并将请求作为 HTTP 转发到应用程序?
  • 您可以检查 TLS 证书的设置位置 - 如果它在负载均衡器上,那么它正在处理解密,如果它在应用程序(或应用程序服务器)上,那么就是这样。或者,如果不是您设置 TLS,请询问设置 TLS 的人员/团队。
  • @Mennon 和@Subodh,我们在wildfly 应用服务器配置中添加了proxy-address-forwarding="true",它起作用了
  • 另一个简单的解决方法是根本不在 Location 标头字段中设置方案
【解决方案2】:

以下是上述问题的详细解决方案说明:

我们在两台 Wildfly 服务器前面有一个负载均衡器。负载均衡器处理 SSL 握手并强制所有流量通过 https,wildfly 节点上没有证书,负载均衡器和服务器之间的流量未加密,wildfly 节点对 SSL 一无所知。负载均衡器之间的通信Wildfly 节点是通过http 协议实现的。

当用户点击受保护的页面时,例如https://someip/app

请求流程如下:

  • 客户端浏览器通过https负载均衡器
  • 负载均衡器通过http 协议连接到wildlfy 节点。
  • 在wildlfy服务器节点的http中添加了proxy-address-forwarding="true" 听众

【讨论】:

    【解决方案3】:

    另一种选择是让负载均衡器将 Strict-Transport-Security 标头添加到服务器响应中,例如:

    Strict-Transport-Security max-age=300;

    这将有效地告诉客户端他应该始终使用 https 来联系您的服务器。

    【讨论】:

      猜你喜欢
      • 2023-03-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-10-12
      • 2014-12-26
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode