使用仅限SNI的证书(让我们加密,CloudFlare免费)时,使用Windows XP与Chrome或IE的用户为not able to connect to your site。 Firefox上的Firefox工作正常。
我想测试用户代理是XP上的Chrome还是XP上的IE(或任何不是Firefox的XP),并将它们重定向到HTTP警告页面,告诉他们在XP上使用Firefox。
你会如何在nginx下做到这一点?
目前,我正在使用此块将所有http链接重定向到https。
this.$interval(function () {
myFunc()
}, 60 * 1000);
如何将上述用户代理检测结合到此块中,以便将非SNI用户重定向到仅HTTP警告页面?
答案 0 :(得分:5)
您可以使用nginx用户代理地图来检测和重定向非SNI客户端(XP上的IE和Chrome浏览器)。只需将其添加到站点配置文件(服务器块外部):
map $http_user_agent $is_xp {
default 0;
"~Windows NT 5.1" 1;
}
map $http_user_agent $whitelist_browser {
default 0;
"~Firefox" 1;
}
map $is_xp$whitelist_browser $no_sni {
default 0;
"10" 1;
}
第一张地图在用户代理字符串(= Windows XP)中检查Winhdows NT 5.1,但由于Firefox不依赖于XP的SSL实现并且拥有自己的带有SNI支持的lib,我们应该更好地将此浏览器列入白名单在XP上,这就是第二张地图的作用。第三张地图将这两个条件结合在一起。
现在我们可以在服务器块中使用它来做我们想要的事情:
if ($no_sni = 1) {
# do whatever (redirect...???)
}
但是!!! 此解决方案仅适用于直接在地址栏中输入网址的访问者(浏览器默认为HTTP)。想象一下Google(或任何人)抓取您的网站,将其检测为HTTPS(僵尸的用户代理不是XP或IE),当然将其编入HTTPS 的情况,它会将其显示为搜索结果页面上的HTTPS!因此,使用NON-SNI客户端的用户将从搜索中直接重定向到HTTPS,您再次遇到麻烦。
唯一的解决方法是从CA(letsencrypt,...)请求一个大型证书,并将服务器上托管的所有域列为SAN,并将此证书用作默认SSL证书。因此,如果任何非sni客户端访问您的服务器,它将获得所有域的通用证书,一切都会正常。