使用.htaccess和mod_rewrite强制SSL/https

对于Apache，你可以使用mod_ssl强制使用SSLRequireSSL Directive进行SSL:

该指令禁止访问，除非当前连接启用了HTTP over SSL(即HTTPS)。这在启用ssl的虚拟主机或目录中非常方便，可以防止暴露应该保护的内容的配置错误。当这个指令出现时，所有不使用SSL的请求都将被拒绝。

这将不会重定向到https。要重定向，请在.htaccess文件中尝试下面的mod_rewrite

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

或文中给出的任何一种方法

• http://www.askapache.com/htaccess/http-https-rewriterule-redirect.html

你也可以从PHP内部解决这个问题，如果你的提供者已经禁用了.htaccess(这是不太可能的，因为你要求它，但无论如何)

if (!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') {
if(!headers_sent()) {
header("Status: 301 Moved Permanently");
header(sprintf(
'Location: https://%s%s',
$_SERVER['HTTP_HOST'],
$_SERVER['REQUEST_URI']
));
exit();
}
}

PHP解决方案

直接借用Gordon非常全面的回答，我注意到你的问题提到了强制HTTPS/SSL连接时页面特定。

function forceHTTPS(){
$httpsURL = 'https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
if( count( $_POST )>0 )
die( 'Page should be accessed with HTTPS, but a POST Submission has been sent here. Adjust the form to point to '.$httpsURL );
if( !isset( $_SERVER['HTTPS'] ) || $_SERVER['HTTPS']!=='on' ){
if( !headers_sent() ){
header( "Status: 301 Moved Permanently" );
header( "Location: $httpsURL" );
exit();
}else{
die( '<script type="javascript">document.location.href="'.$httpsURL.'";</script>' );
}
}
}

然后，在你想通过PHP强制连接的这些页面的顶部，你可以require()一个包含这个(和任何其他)自定义函数的集中文件，然后简单地运行forceHTTPS()函数。

HTACCESS / mod_rewrite解决方案

我个人没有实现过这种解决方案(我倾向于使用PHP解决方案，就像上面的解决方案一样，因为它很简单)，但是下面的方法可能至少是一个好的开始。

RewriteEngine on


# Check for POST Submission
RewriteCond %{REQUEST_METHOD} !^POST$


# Forcing HTTPS
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
# Pages to Apply
RewriteCond %{REQUEST_URI} ^something_secure [OR]
RewriteCond %{REQUEST_URI} ^something_else_secure
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]


# Forcing HTTP
RewriteCond %{HTTPS} =on [OR]
RewriteCond %{SERVER_PORT} 443
# Pages to Apply
RewriteCond %{REQUEST_URI} ^something_public [OR]
RewriteCond %{REQUEST_URI} ^something_else_public
RewriteRule .* http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

我发现了一个mod_rewrite解决方案，适用于代理服务器和未代理服务器。

如果你正在使用CloudFlare, AWS弹性负载平衡，Heroku, OpenShift或任何其他云/PaaS解决方案，并且你正在使用正常HTTPS重定向的重定向循环，请尝试下面的代码片段。

RewriteEngine On


# If we receive a forwarded http request from a proxy...
RewriteCond %{HTTP:X-Forwarded-Proto} =http [OR]


# ...or just a plain old http request directly from the client
RewriteCond %{HTTP:X-Forwarded-Proto} =""
RewriteCond %{HTTPS} !=on


# Redirect to https version
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

我只是想指出，当跨目录深度使用多个.htaccess文件时，Apache具有最糟糕的继承规则。两个主要陷阱:

• 默认情况下，只有包含在最深的.htaccess文件中的规则将被执行。你必须指定RewriteOptions InheritDownBefore指令(或类似指令)来改变这一点。(见问题)
• 该模式应用于相对于子目录的文件路径，而不是包含给定规则的.htaccess文件的上层目录。(见讨论)

这意味着如果你在子目录中使用任何其他.htaccess文件，那么Apache维基上的建议全局解决方案将不工作。我写了一个修改后的版本:

RewriteEngine On
# This will enable the Rewrite capabilities


RewriteOptions InheritDownBefore
# This prevents the rule from being overrided by .htaccess files in subdirectories.


RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS


RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [QSA,R,L]
# This rule will redirect users from their original location, to the same location but using HTTPS.
# i.e.  http://www.example.com/foo/ to https://www.example.com/foo/

这个代码适用于我

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP:X-HTTPS} !1
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

简单一点:

RewriteEngine on
RewriteCond %{HTTP_HOST} ^(www\.example\.com)(:80)? [NC]
RewriteRule ^(.*) https://example.com/$1 [R=301,L]
order deny,allow

用example.com替换你的url

基于mod重写的解决方案:

在htaccess中使用以下代码自动将所有http请求转发到https。

RewriteEngine on


RewriteCond %{HTTPS}::%{HTTP_HOST} ^off::(?:www\.)?(.+)$
RewriteRule ^ https://www.%1%{REQUEST_URI} [NE,L,R]

这将重定向你的没有www和www http请求到https的www版本。

其他解决方案(Apache 2.4*)

RewriteEngine on


RewriteCond %{REQUEST_SCHEME}::%{HTTP_HOST} ^http::(?:www\.)?(.+)$
RewriteRule ^ https://www.%1%{REQUEST_URI} [NE,L,R]

这在低版本的apache上不起作用，因为%{REQUEST_SCHEME}变量从2.4开始被添加到mod-rewrite中。

尝试这段代码，它将工作于所有版本的url像

• website.com
• www.website.com
• http://website.com
• < p > http://www.website.com

  RewriteCond %{HTTPS} off
  RewriteCond %{HTTPS_HOST} !^www.website.com$ [NC]
  RewriteRule ^(.*)$ https://www.website.com/$1 [L,R=301]
  

简单易行，只需添加以下内容

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]