Rails: SSL-Unterstützung aktiviert wird Chrome verwirrt

Question

Es gibt eine nette Option für die Rails-Anwendung config:

config.force_ssl = true

Allerdings scheint es, dass das nur auf true setzt nicht das bekommt HTTPS-Verbindungen funktionieren. Noch mehr - nach dem Versuch (und fehlgeschlagen), mit https://localhost:3000 mit Chrome zu verbinden, habe ich diese Option auf false gesetzt, und Chrome versucht immer noch, https zu öffnen, auch wenn ich http schreibe.

Also, ein paar Fragen:

--Wie Chrome zu zwingen, nicht https zu versuchen, mehr? - Was ist die richtige Methode zum Aktivieren von SSL in meiner Rails App?

Update: Die App wird auf Heroku ausgeführt, und es scheint, dass https dort automatisch unterstützt wird. Kann ich SSL auch lokal testen? Wie beim Rails Server?

Answer 1

Zuerst soll ich sagen, dass ich nicht versucht haben, aber es gibt im Wesentlichen zwei Gründe möglicherweise für Chrome noch über HTTPS:

• Mit HTTP Strict Transport Security Header: wenn der Server sie setzt, den Client (Unterstützung von HSTS, wie Chrome) soll für alle nachfolgenden Anfragen an diesen Host bei HTTPS bleiben.

• Permanente Weiterleitungen. Wenn die anfängliche Umleitung "301 Moved Permanently" (und nicht 302 zum Beispiel) verwendet, um die Umleitung vorzunehmen, muss sich der Browser den Namen merken (""). Der angeforderten Ressource wurde eine neue permanente URI und alle zukünftigen Referenzen zugewiesen zu dieser Ressource sollte eine der zurückgegebenen URIs ") verwenden.

Eine wahrscheinliche Lösung wäre, den Cache in Ihrem Browser zu löschen.

(*) _{This question scheint darauf hinzuweisen, dies ist der Fall für Ruby on Rails mit dieser Konfiguration).}

Answer 2

Ich hatte das gleiche Problem. Was ich getan habe, ist die Verwendung eines ssl Enforcer Gems, das eine Middleware hinzufügt, die ssl und Redirects behandelt. Es hat eine strikte Option, die die konfigurierten Protokolle erzwingt.

in Ihrem Gemfile hinzufügen:

gem 'rack-ssl-enforcer' 

in production.rb add:

config.middleware.use Rack::SslEnforcer, only: %r{your_regex_condition}, strict: true 

Diese die angeforderten Seiten gesichert werden zwingen wird, und den Rest nicht gesichert werden. Es deaktiviert den HSTS-Header, der in Chrome problematisch ist (Redirect-Caching-Problem).

Sie können auch den Cache für alle cleints ablaufen (wenn es bereits vorhanden ist) sicherstellen, dass Sie nicht unendlich Redirect bekommen:

config.middleware.use Rack::SslEnforcer, only: %r{your_regex_condition}, :hsts => { :expires => 1, :subdomains => false } 

auch die ssl Durchsetzung in der Produktion entfernen.rb (sonst könnte es mit dieser Middleware-Konflikt):

config.force_ssl = false 

Answer 3

Mal sehen, was einmal passiert Sie Ihre Konfigurationsdatei aktualisiert mit:

config.force_ssl = true 

Diese Rack SSL Middleware verursacht hat als erste Middleware geladen werden. Wie Sie im Code sehen können, setzt Rack-SSL eine HSTS header durch diese Zeile auf die Header hinzufügen:

Strict-Transport-Security 

Erzählt werden unterstützte Browser wie Chrome HTTPS verwenden nur Ihre Website zuzugreifen.

Also, wenn Sie zurück:

config.force_ssl = false 

Chrome wird noch HTTPS verwendet Ihre Website zugreifen und verursacht einen Fehler.

Um dieses Problem zu lösen, müssen Sie den HSTS-Cache leeren. Sie können dazu die folgende URL in Ihrem Chrome-Browser: chrome: // net-internals/#sts

Answer 4

Öffnen Sie Ihre Chrome-Entwicklertools, wenn Sie bei localhost sind: Dann können Sie mit der rechten Maustaste auf die Schaltfläche zum Aktualisieren klicken ↻ und wählen Sie "Cache leeren und erneutes Laden".

Dieser Fehler tritt möglicherweise auch bei Ihnen auf, wenn Sie den Server in der Produktionsumgebung starten, in der HSTS aktiviert ist.

Chrome leitet Sie an https://localhost:3000/ um und sagt "SSL-Verbindungsfehler".