使用 Nginx 将所有非子域请求重定向到 (https)apex 域答案

【问题标题】：Redirecting all non-subdomain requests to (https)apex domain with Nginx使用 Nginx 将所有非子域请求重定向到 (https)apex 域
【发布时间】：2014-08-11 13:14:56
【问题描述】：

我有一个相当复杂的 Ruby 应用程序，它为客户提供了一个仪表板，可以在他们自己选择的子域下使用。即：http://mycompany.app.com、http://myproject.app.com。

我还在根域（即http://app.com）上运行了产品网站，并且我已经购买并使用 Nginx 配置了 SSL 证书，它按预期工作，但这给我留下了以下问题场景：

我需要将所有非 https 流量重定向到页面的 https 版本，但发往任何子域的任何请求除外。棘手的是，我确实需要将网站的 www 版本重定向到非 www 版本。

http://app.com             -> https://app.com
http://www.app.com         -> https://app.com
http://nike-admin.app.com !-> https://nike-admin.app.com

这是我到目前为止在 nginx.conf 中为这个应用程序提出的内容（真实名称替换为app）：

upstream unicorn_server {
  server unix:/var/www/<app>/tmp/sockets/unicorn.sock fail_timeout=0;
}

server {
  listen 80;
  listen [::]:80 default_server ipv6only=on;
  server_name <app>.co;

  location / {
    rewrite ^ https://$server_name$request_uri permanent;
  }
}

server {
  server_name <app>.co;
  root /var/www/<app>.co/public;

  client_max_body_size 4G;
  keepalive_timeout 70;
  listen 443 ssl;
  ssl_certificate /etc/nginx/ssl/<app>.crt;
  ssl_certificate_key /etc/nginx/ssl/<app>.key;

  location / {
    try_files $uri @app;
  }

  location @app {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_redirect off;
    proxy_pass http://unicorn_server;
  }
}

在第一个 server{} 块中，我明确侦听端口 80 上的任何连接并将其重定向到 https 版本，但这是一把双刃剑，因为 SSL 证书仅涵盖 apex 域。我不希望将 www 以外的任何子域上的请求重定向到 https 等效项。

我可能会使用正则表达式，但从我在网上看到的情况来看，它似乎不被接受？

还有其他方法吗？

【问题讨论】：

“我可能会使用正则表达式，但从我在网上看到的情况来看，它似乎不受欢迎？” -- 你是什么意思？我不会为此使用 RegEx 皱眉。你在哪里看到的？
正则表达式引擎是有限状态的，大多数时候你会发现写几行正则表达式比写几块代码更容易维护。对于您将经常使用的专用服务，性能确实很重要，但在这种情况下，请使用正则表达式。
应用程序使用非 HTTPS 的任何特殊原因？你希望 cookie 被盗吗？
@mikhailov 子域上的仪表板是一次性只读的，包含非敏感数据，因此在这种情况下，通配符 SSL 证书的成本没有意义。

标签： regex linux web nginx

【解决方案1】：

您可以使用以下正则表达式：

/^.*?\b(?!www\.)((?:[\w-]+\.)+[\w-]+).*$/

替换为：

https://$1

这是regex demo！

^ 在字符串开头断言位置。
.*? 在惰性匹配中匹配任意数量的字符，除了换行符。（逐个字符）
\b 断言单词边界位置（\w\W 或 \W\w。）
(?! Negative lookahead：断言我们的立场是NOT：
- www\. 字符序列“www.”。
)那就继续比赛吧：
( 打开一个捕获组。这样我们就可以在替换中使用反向引用。
- (?: 打开一个非捕获组。
- - [\w-]+\. 任何单词字符或连字符的序列（因为连字符可能在域名中）后跟一个点。
- )+ 一组或多组。
[\w-]+ 另一组单词字符或连字符。
) 关闭群组。
.* 匹配字符串的其余部分，但它不是域的一部分，因此被忽略。
$ 在字符串末尾断言位置。这个锚点可能不是必需的，但为了便于阅读，最好有。

阅读更多：

How to get domain from a string using javascript regular expression

【讨论】：

【解决方案2】：

(http:\/\/(www\.)?)([a-zA-Z-]+\.)(?![a-zA-Z-]+\.)

这将匹配：

任何使用http的东西；或
以www 开头的任何内容。

这将不匹配：

任何具有子域的内容。

如果您想替换 ruby，这里有一些示例（在 irb 中）：

http://app.com（切换到 https）

2.1.1 :047 > "http:\/\/app.com".sub /(http:\/\/(www\.)?)([a-zA-Z-]+\.)(?![a-zA-Z-]+\.)/, 'https://\3'
 => "https://app.com"

http://www.app.com（切换到 https）

2.1.1 :046 > "http:\/\/www.app.com".sub /(http:\/\/(www\.)?)([a-zA-Z-]+\.)(?![a-zA-Z-]+\.)/, 'https://\3'
 => "https://app.com"

http://subdomain.app.com（保持不变）

2.1.1 :045 > "http:\/\/subdomain.app.com".sub /(http:\/\/(www\.)?)([a-zA-Z-]+\.)(?![a-zA-Z-]+\.)/, 'https://\3'
 => "http://subdomain.app.com"

【讨论】：

【解决方案3】：

我使用这种结构，它工作正常：

server {
        listen 80;
        server_name my.site.ru www.my.site.ru;
        rewrite ^(.*)$ https://my.site.ru$1 permanent;
}

我也有 _http://(www.)site.ru http(s)://(www.)othermy.site.ru 域，没关系。

从0.8.4版本开始应该更好用

        return          301             https://$http_host$request_uri;

【讨论】：