分享一个最近处理的nginx转发问题,简单记录下~
简单架构为nginx做负载均衡,后端用tomcat做容器。浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。
通过域名访问可以正常登录,但是发现某个页面会存在异常,保存的时候会一直在加载中,具体原因为saved方法里面redirect重定向的时候变为http请求,当前页面为https协议,但是这个页面发起了一个http的ajax请求,这个是非法的。
F12查看报错:This request has been blocked; the content must be served over HTTPS.
如图:
进一步分析后发现以下三个现象:
1)在排查代码之后并没有发现代码里有任何写死使用http协议的地方,而后又发现另一个应用也出现了这个情况,两个应用使用的框架分别是struts2和spring,这个问题似乎和框架无关。
2)而后发现原先部署在这两个应用之前的反向代理的协议从原来的http改成了https,但是这两个应用的tomcat并没有跟着升级成https而依旧是http。
3)经过进一步跟踪请求发现并不是所有请求都出现异常,而只有redirect的地方出现问题,而redirect的时候并没有使用https协议,而依然是http。
结合上面三个现象推论:
1)这个问题和框架无关
2)是tomcat和反向代理协议不一致造成的
3)问题出在redirect上
1、Nginx对应server的location添加配置
将referer的请求scheme信息,用来作为当前请求的scheme,如此可以保证所有的请求都是同一个scheme,不会因为redirect而遗漏信息。
proxy_pass http://xxx/xxx/;
#实际调试时是发现之前的proxy_redirect设置成了off,在开启之后才解决nginx https协议转tomcat http协议问题
proxy_redirect http:// https://;
proxy_set_header Host $host;
proxy_set_header Referer $http_referer;
proxy_set_header Cookie $http_cookie;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-FORWARDED-HOST $server_addr;
proxy_set_header X-FORWARDED-PORT $server_port;
#该参数也需要配置,保证所有的请求都是同一个scheme
proxy_set_header X-Forwarded-Proto $scheme; 如上配置,经过nginx反向代理后的HttpServletRequest中header部分就带上了字段X-Forwarded-Proto。
2、Tomcat的配置srever.xml
2.1、 connector里添加
redirectPort="443" proxyPrort="443"
2.2、Host里添加
让tomcat在解析请求和做重定向的时候,知道用什么协议。主要的配置在server.xml里面的Engine下,定义一个Value元素。
<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeaderHttpsValue="https"
remoteIpHeader="X-Forwarded-For"
protocolHeader="X-Forwarded-Proto" />
这个配置里面,重点是protocolHeader字段,意思就是说,当protocolHeader字段的值为protocolHeaderHttpsValue的https的时候,认为是安全连接,否则就是http的非安全连接。
