如何强制用户通过HTTPS访问网站


有时候，为了网站数据传输的安全，我们希望用户访问网站某些页面或者整个网站的时候，必须通过HTTPS的方式访问，而不允许HTTP明文方式访问，如何正确的配置网站和编写程序以达到一个理想的效果呢？

       有些网站开发人员，采用了只开放了HTTPS-443端口，而关闭HTTP-80端口的方式，这样的话，虽然可以造成用户的确无法用HTTP访问网站了，但如果用户通过HTTP访问网站，譬如直接在地址栏输入网址www.xxx.com，则系统缺省就采用了HTTP方式，这时用户就会看到一个网站无法访问的出错信息，而绝大多数用户都不具备专业的网站知识，他们不会认为是自己输入不正确，而是认为网站出错了。那如何妥善解决来自用户HTTP的访问请求呢？

正确的做法，应该是将用户通过HTTP访问网站的请求，重新定位到HTTPS请求上。首先，要将网站配置成HTTP和HTTPS都可以访问的模式，确保80和443端口全部打开，然后在那些必须通过https访问的页面的头部加入一个判断语句，逻辑如下：

If 用户是通过HTTP访问本页面,Then
用HTTPS方式重新访问本页面

以下用ASP和JSP代码举例：

asp代码：

IfRequest.ServerVariables("HTTPS")="off"

Then response.redirect "https://域名" &Request.ServerVariables("PATH_INFO") response.end

End If

jsp代码：

String scheme=request.getScheme();

String url=request.getRequestURI();

if(!"HTTPS".equalsIgnoreCase(scheme))

{

response.sendRedirect("https:// 域名"+url);

return ;

}

对于必须通过HTTPS的页面，只需加入以上语句，即使用户是通过HTTP访问的该页面，系统也会自动将其跳转为HTTPS。

更多请访问：https://www.wosign.com