https经过ngxin在web服务器收到http请求
2016-10-26 12:19
197 查看
在讨论这个问题之前,我们先了解一下nginx代理的概念
一.ngxin正向代理和反向代理:
正向代理,也就是传说中的代理,他的工作原理就像一个跳板, 简单的说, 我是一个用户,我访问不了某网站,但是我能访问一个代理服务器 这个代理服务器呢,他能访问那个我不能访问的网站 于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容 代理服务器去取回来,然后返回给我,从网站的角度,只在代理服务器来取内容的时候有一次记录 有时候并不知道是用户的请求,也隐藏了用户的资料,这取决于代理告不告诉网站。
结论就是 正向代理 是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
反向代理的概念
继续举例: 例用户访问 http://ooxx.me/readme 但ooxx.me上并不存在readme页面 他是偷偷从另外一台服务器上取回来,然后作为自己的内容吐给用户
但用户并不知情 这很正常,用户一般都很笨,这里所提到的 ooxx.me 这个域名对应的服务器就设置了反向代理功能。
结论就是 反向代理正好相反,对于客户端而言它就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理 的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端,就像这些内容 原本就是它自己的一样。
两者区别
从用途 上来讲:
正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。正向代理还可以使用缓冲特性减少网络使用率。反向代理的典型用途是将 防火墙后面的服务器提供给Internet用户访问。反向代理还可以为后端的多台服务器提供负载平衡,或为后端较慢的服务器提供缓冲服务。
另外,反向代理还可以启用高级URL策略和管理技术,从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
从安全性 来讲:
正向代理允许客户端通过它访问任意网站并且隐藏客户端自身,因此你必须采取安全措施以确保仅为经过授权的客户端提供服务。
反向代理对外都是透明的,访问者并不知道自己访问的是一个代理。
二. 问题描述:
浏览器输入https://www.mysite.com,后台通过request.getScheme()获取到的确实http而不是https,通过request.getRequestURL()拿到的也是http://www.mysite.com
分析原因:因为nginx+tomcat部署web服务,tomcat接受到的请求都是来自于nginx的http请求。浏览器请求https是外网域名或者ip,在浏览器发出请求时经过nginx代理拦截会进行证书验证,验证通过后nginx把外网请求转发到内网服务器,一般都是http请求,因为https证书只针对外网ip,内网服务无法配置ssl证书,而且如果转发到web服务器也是https请求,那么每个web服务都需要配置ssl证书。
三. 问题常用场景:
此类问题一般会出现在web服务进行redirect重定向或者微信授权,redirect重定时javaee框架会根据当前访问的协议和host进行自动补全,最终会在Response Header带上【Location: 协议+域名+重定向地址】,nginx使用的协议为http,所以最终会重定向到http。而请求微信授权时候步骤为:用户首次访问,会进行静默登陆,服务端获取到的请求协议为http,所以提供给微信的页面回调URL也是http开头,导致微信授权完成回调域名时进入http方式的访问,再加上nginx目前没有对http做强制跳转到https的处理,所以用户最终会通过http方式进入页面,有可能会被劫持进行广告植入。
四. 解决办法:
方案一:修改服务端,支持https请求,nginx的配置改为proxy_pass https://xrk_biz_web2_8013;
方案二:在nginx端强制重定向http到https。
方案三:修改服务端逻辑代码(配置文件中主机访问地址及redirect补全主机地址),保证相关回调链接都是https开头。
方案四:使用spring-boot官方提供的解决方案,nginx添加配置(最终采用):
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
项目添加配置server.use-forward-headers=true
后台通过request.getHeader("X-Forwarded-Scheme")获取真实的scheme
spring-boot相关链接:http://docs.spring.io/spring-boot/docs/current-SNAPSHOT/reference/htmlsingle/#howto-use-tomcat-behind-a-proxy-server
X-forwarded-Scheme相关链接:http://blog.csdn.net/xybelieve1990/article/details/52932977
一.ngxin正向代理和反向代理:
正向代理的概念
正向代理,也就是传说中的代理,他的工作原理就像一个跳板, 简单的说, 我是一个用户,我访问不了某网站,但是我能访问一个代理服务器 这个代理服务器呢,他能访问那个我不能访问的网站 于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容 代理服务器去取回来,然后返回给我,从网站的角度,只在代理服务器来取内容的时候有一次记录 有时候并不知道是用户的请求,也隐藏了用户的资料,这取决于代理告不告诉网站。结论就是 正向代理 是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
反向代理的概念
继续举例: 例用户访问 http://ooxx.me/readme 但ooxx.me上并不存在readme页面 他是偷偷从另外一台服务器上取回来,然后作为自己的内容吐给用户
但用户并不知情 这很正常,用户一般都很笨,这里所提到的 ooxx.me 这个域名对应的服务器就设置了反向代理功能。
结论就是 反向代理正好相反,对于客户端而言它就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理 的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端,就像这些内容 原本就是它自己的一样。
两者区别
从用途 上来讲:
正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。正向代理还可以使用缓冲特性减少网络使用率。反向代理的典型用途是将 防火墙后面的服务器提供给Internet用户访问。反向代理还可以为后端的多台服务器提供负载平衡,或为后端较慢的服务器提供缓冲服务。
另外,反向代理还可以启用高级URL策略和管理技术,从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
从安全性 来讲:
正向代理允许客户端通过它访问任意网站并且隐藏客户端自身,因此你必须采取安全措施以确保仅为经过授权的客户端提供服务。
反向代理对外都是透明的,访问者并不知道自己访问的是一个代理。
二. 问题描述:
浏览器输入https://www.mysite.com,后台通过request.getScheme()获取到的确实http而不是https,通过request.getRequestURL()拿到的也是http://www.mysite.com
分析原因:因为nginx+tomcat部署web服务,tomcat接受到的请求都是来自于nginx的http请求。浏览器请求https是外网域名或者ip,在浏览器发出请求时经过nginx代理拦截会进行证书验证,验证通过后nginx把外网请求转发到内网服务器,一般都是http请求,因为https证书只针对外网ip,内网服务无法配置ssl证书,而且如果转发到web服务器也是https请求,那么每个web服务都需要配置ssl证书。
三. 问题常用场景:
此类问题一般会出现在web服务进行redirect重定向或者微信授权,redirect重定时javaee框架会根据当前访问的协议和host进行自动补全,最终会在Response Header带上【Location: 协议+域名+重定向地址】,nginx使用的协议为http,所以最终会重定向到http。而请求微信授权时候步骤为:用户首次访问,会进行静默登陆,服务端获取到的请求协议为http,所以提供给微信的页面回调URL也是http开头,导致微信授权完成回调域名时进入http方式的访问,再加上nginx目前没有对http做强制跳转到https的处理,所以用户最终会通过http方式进入页面,有可能会被劫持进行广告植入。
四. 解决办法:
方案一:修改服务端,支持https请求,nginx的配置改为proxy_pass https://xrk_biz_web2_8013;
方案二:在nginx端强制重定向http到https。
方案三:修改服务端逻辑代码(配置文件中主机访问地址及redirect补全主机地址),保证相关回调链接都是https开头。
方案四:使用spring-boot官方提供的解决方案,nginx添加配置(最终采用):
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
项目添加配置server.use-forward-headers=true
后台通过request.getHeader("X-Forwarded-Scheme")获取真实的scheme
spring-boot相关链接:http://docs.spring.io/spring-boot/docs/current-SNAPSHOT/reference/htmlsingle/#howto-use-tomcat-behind-a-proxy-server
X-forwarded-Scheme相关链接:http://blog.csdn.net/xybelieve1990/article/details/52932977
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- express:webpack dev-server中如何将对后端的http请求转到https的后端服务器中?
- 无法在web服务器上启动调试 发送调试http请求时发生服务器端错误
- HttpWebRequest加载证书请求远端https服务器时 : 基础连接已经关闭: 无法与远程服务器建立信任关系
- Nginx实战基础篇四 通过https方式访问web服务器
- java请求WEB服务器 获取页面返回,且支持HTTPS,获取cret证书
- Nginx实战基础篇四 通过https方式访问web服务器
- 试图运行项目时出错:无法在WEB服务器上启动调试,发送调试HTTP请求时发生服务器端错误。
- Sys.WebForms.PageRequestManagerParserErrorException:无法分析从服务器收到的消息
- 错误:Sys.WebForms.PageRequestManagerParserErrorException:无法分析从服务器收到的消息
- Linux下Web服务器应用之网站安全-https
- WEB服务器之二:HTTP和HTTPS
- Sys.WebForms.PageRequestManagerParserErrorException:无法分析从服务器收到的消息
- WEB客户端发送给WEB服务器的HTTP请求消息分为三个部分
- java_Web09-软件密码学基础和配置tomcat的https连接器和tomcat服务器的管理平台
- 无法在web服务器上启动调试 发送调试http请求时发生服务器端错误
- WEB客户端发送给WEB服务器的HTTP请求消息
- WEB客户端发送给WEB服务器的HTTP请求消息分为三个部分:
- 通过https方式访问web服务器
- 当您访问在 IIS 7.0 上承载的 Web 站点时收到错误消息:"HTTP 错误 500.19 – 内部服务器错误"
- 利用https安全访问web的服务器搭建