Как развернуть сайт только для HTTPS, с Django/nginx?

Ответ 1

Для второй части ответа Джона C и Django 1.4 +...

Вместо расширения HttpResponseRedirect вы можете изменить request.scheme на https. Поскольку Django находится за обратным прокси-сервером Nginx, он не знает, что исходный запрос был безопасным.

В настройках Django установите параметр SECURE_PROXY_SSL_HEADER:

SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

Затем вам понадобится Nginx для установки настраиваемого заголовка в обратном прокси. В настройках сайта Nginx:

location / {
    # ... 
    proxy_set_header X-Forwarded-Proto $scheme;
}

Таким образом request.scheme == 'https' и request.is_secure() возвращает значение True. request.build_absolute_uri() возвращает https://... и так далее...

Ответ 2

Вот решение, которое я разработал до сих пор. Есть две части, настройка nginx и написание кода для Django. Часть nginx обрабатывает внешние запросы, перенаправляя http страницы на https, а код Django обрабатывает внутреннюю структуру URL, которая имеет префикс http. (По крайней мере, те, которые возникают в результате a HttpResponseRedirect()). Комбинированный, кажется, работает хорошо - насколько я могу судить, клиентский браузер никогда не видит страницу http, которую пользователи не вводили сами.

Часть первая, конфигурация nginx

# nginx.conf
# Redirects any requests on port 80 (http) to https:
server {
    listen       80;
    server_name  www.mysite.com mysite.com;
    rewrite ^ https://mysite.com$request_uri? permanent;
#    rewrite ^ https://mysite.com$uri permanent; # also works
}
# django pass-thru via uWSGI, only from https requests:
server {
    listen       443;
    ssl          on;
    ssl_certificate        /etc/ssl/certs/mysite.com.chain.crt;
    ssl_certificate_key    /etc/ssl/private/mysite.com.key;

    server_name  mysite.com;
    location / {
        uwsgi_pass 127.0.0.1:8088;
        include uwsgi_params;
    }
}

Часть вторая A, различные настройки безопасного файла cookie, из settings.py

SERVER_TYPE = "DEV"
SESSION_COOKIE_HTTPONLY= True
SESSION_COOKIE_SECURE= True
CSRF_COOKIE_SECURE= True # в настоящее время только в ветке Dev Django.
SESSION_EXPIRE_AT_BROWSER_CLOSE= True

Часть вторая B, код Django

# mysite.utilities.decorators.py
import settings

def HTTPS_Response(request, URL):
    if settings.SERVER_TYPE == "DEV":
        new_URL = URL
    else:
        absolute_URL = request.build_absolute_uri(URL)
        new_URL = "https%s" % absolute_URL[4:]
    return HttpResponseRedirect(new_URL)

# views.py

def show_items(request):
    if request.method == 'POST':
        newURL = handle_post(request)
        return HTTPS_Response(request, newURL) # replaces HttpResponseRedirect()
    else: # request.method == 'GET'
        theForm = handle_get(request)
    csrfContext = RequestContext(request, {'theForm': theForm,})
    return render_to_response('item-search.html', csrfContext)

def handle_post(request):
    URL = reverse('item-found') # name of view in urls.py
    item = request.REQUEST.get('item')
    full_URL = '%s?item=%s' % (URL, item)
    return full_URL

Обратите внимание, что можно переписать HTTPS_Response() в качестве декоратора. Преимуществом будет то, что вам не придется проходить через весь ваш код и заменить HttpResponseRedirect(). Недостаток - вам нужно поставить декоратор перед HttpResponseRedirect(), который находится в Django в django.http.__init__.py. Я не хотел изменять код Django, но это зависит от вас - это, безусловно, один из вариантов.

Ответ 3

если вы поместите весь свой сайт за https, вам не нужно беспокоиться об этом на конце django. (при условии, что вам не нужно защищать свои данные между nginx и django, только между пользователями и вашим сервером)