gpt4 book ai didi

ruby-on-rails-3 - 为 Heroku 应用禁用 SSL

转载 作者:太空宇宙 更新时间:2023-11-03 12:40:25 25 4
gpt4 key购买 nike

我最近更改了在 Heroku 上运行的 Rails 应用程序的域。我将原来的重定向到新的,并且在过去的几个月里一直在两者上运行 SSL。我试图从原始域中删除 SSL,因为它所做的只是重定向。

我做了我认为应该做的一切:

  • 在 production.rb 中使用 config.force_ssl = false 关闭应用中的 SSL
  • 更改 DNS ALIAS 和 CNAME 以指向“myapp.herokuapp.com”
  • 删除了 SSL 端点和证书

如果我访问 myapp.herokuapp.com,一切正常,但如果我访问 myapp.com 或 www.myapp.com,它会自动尝试将我带到网站的安全版本,https://myapp.com ,我从浏览器收到标准安全错误警告。

我错过了什么吗?这是缓存问题吗? DNS 更改是否需要时间才能生效?我已经在几台机器/浏览器上试过了,这个问题在所有机器/浏览器上都是一致的。

最坏的情况,我绝对可以重新添加 SSL 端点,但这似乎有点矫枉过正。

最佳答案

config.force_ssl = true 启用 Strict Transport Security header(HSTS),max-age 为一年。看这个issue .此类 header 强制支持它的浏览器通过 HTTPS 与服务器联系一年。这是为了防止中间人将 HTTPS 连接降级为 HTTP 的攻击。

为使用 HSTS 服务的生产站点移除 HTTPS 并不是一件容易的事。您应该让您的网站通过 HTTPS 提供服务,并返回带有 max-age=0HSTS header 以重置一年设置。问题是决定您需要将 HTTPS 保留多长时间。为绝对确保所有客户端都已切换,您应该执行一年。您可能会决定在较短的时间内执行此操作,但对于不经常访问的客户来说,存在破坏网站的风险。

关于ruby-on-rails-3 - 为 Heroku 应用禁用 SSL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17776530/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com