Rails在生產中設計SSL會話混合

Question

我已經使用Capistrano，nginx/ Passenger和通配符SSL證書將我的應用部署到Ubuntu VPS。

該應用在開發和我的舞臺環境 Heroku上正常工作。

但是，當用戶使用安全頁面登錄到 網站時，生產存在兩個問題。

1. 在最新的Chrome和Firefox瀏覽器開始執行HTTPS對每一個請求，每次請求 。無論用戶是否登錄到 。即使我在nginx上禁用了SSL，瀏覽器仍會嘗試HTTPS，並抱怨它無法連接。主頁面提供一些不安全的動態嵌入 項目並使用不安全的CDN，因此我想將該頁面作爲非 SSL提供。每當我嘗試通過 nginx重寫或Rails中的before過濾器將頁面重定向到非SSL時，它將導致無限的 重定向循環。

2. Safari不具備上述第一個問題，它同時兼顧了 HTTPS和HTTP請求。但是，當用戶登錄並且 瀏覽到非SSL頁面時，它們即刻退出或丟失會話 。

有沒有人遇到過這樣的問題，或者對如何診斷/解決問題有想法？

感謝

Answer 1

您使用Rails 3.1 force_ssl啓用SSL或寶石是？

當您啓用HTTPS時，您還啓用了HTTP Strict Transport Security標誌，該標誌在發送請求到服務器之前，瀏覽用於立即轉到該域上的任何HTTPS頁面。

在Chrome瀏覽器中，在您的瀏覽器中輸入chrome://net-internals/#hsts，然後您可以從HSTS列表中刪除您的域名，該域名將針對Chrome進行修復。不能說爲Firefox，因爲我不經常使用它。

它失去會話的問題很可能是因爲Rails將身份驗證cookie設置爲安全，這意味着它們僅針對HTTPS請求發送，而不是HTTP。確保您的Rails中的cookie_options未設置爲:secure => true。同時檢查設計cookie_options設置，以確保沒有設置:secure => true。