Wykryj HTTP lub HTTPS, a następnie wymuś HTTPS w JavaScript

298

Czy jest jakiś sposób na wykrycie HTTP lub HTTPS, a następnie wymuszenie użycia HTTPS z JavaScript?

Mam pewne kody do wykrywania HTTP lub HTTPS, ale nie mogę zmusić go do użycia https:.

Korzystam z właściwości window.location.protocol, aby ustawić dowolną witrynę, https:a następnie odświeżyć stronę i, mam nadzieję, ponownie załadować nowy adres URL https załadowany do przeglądarki.

if (window.location.protocol != "https:") {
   window.location.protocol = "https:";
   window.location.reload();
}

javascript https window.location

— zarejestrowany użytkownik
źródło

15

Jest to o wiele bardziej niezawodnie (i wydajniej) obsługiwane po stronie serwera.

— Quentin,

3

Myślę, że masz rację. Jako atakujący wykorzystujący atak MITM mógłbym po prostu usunąć ten kod. Oferuje więc tylko ochronę przed atakami pasywnymi.

— ndevln

Część wykrywająca jest duplikatem Jak mogę użyć JavaScript po stronie klienta, aby wykryć, czy strona została zaszyfrowana? od 2008 r.

— Dan Dascalescu,

1

@NeoDevlin atakujący MITM na http może również zastąpić przekierowanie po stronie serwera

— Alex Lehmann

1

Dokładnie. W 2018 roku nie ma wymówki, aby nie używać HSTS. Jest to jedyny bezpieczny sposób na wymuszenie HTTPS.

500

Spróbuj tego

if (location.protocol !== 'https:') {
    location.replace(`https:${location.href.substring(location.protocol.length)}`);
}

location.href = blahdodaje to przekierowanie do historii przeglądarki. Jeśli użytkownik naciśnie przycisk Wstecz, zostanie przekierowany z powrotem na tę samą stronę. Lepiej jest używać, location.replaceponieważ nie dodaje tego przekierowania do historii przeglądarki.

— Soumya
źródło

3

Dlaczego windownie document?

— webjay,

5

@webjay patrz stackoverflow.com/a/2431375/228534 i stackoverflow.com/a/12098898/228534

— Soumya

11

Czy powinno być porównanie ciągów !==?

— Wes Turner,

5

@WesTurner To nie powinno mieć znaczenia. Oboje zawsze będą sznurkami. Jeśli jeden był liczbą lub wartością logiczną, może to mieć znaczenie.

— Soumya

15

location.replace(url)byłoby znacznie lepiej niż location.href = urlw tym przypadku. Nie chcesz, aby to przekierowanie w historii przeglądarki lub użytkownik naciskał przycisk Wstecz, aby ponownie zostać przekierowanym.

— Francisco Zarabozo

58

Ustawienie location.protocol powoduje przejście do nowego adresu URL . Nie trzeba parsować / kroić niczego.

if (location.protocol !== "https:") {
  location.protocol = "https:";
}

Firefox 49 ma błąd, w którym httpsdziała, ale https:nie działa. Podobno zostanie naprawiony w Firefox 54 .

— sam
źródło

2

if window.location.href.match('http:') window.location.href = window.location.href.replace('http', 'https')działa na najnowszych FF i Chrome.

— Martin Stannard,

2

location.protocol = "https";wydaje się, że działa w Firefox 28

— Nick Russler

1

Bzdura, która łamie przycisk Wstecz. Użyj location.replacezamiast tego.

— Warlike Chimpanzee,

22

To nie jest dobry pomysł, ponieważ chwilowo przekierowujesz użytkownika do https, a przeglądarka nie zapisuje tego przekierowania.

Opisujesz zadanie dla serwera WWW (apache, nginx itp.) Http 301, http 302

— b1_
źródło

3

Zgodzić się. Wymuszanie https na serwerze jest znacznie bardziej niezawodne

— Hoàng Long

3

Widziałem, że jest używany, jeśli zachowanie wartości skrótu jest ważne. Nie jest wysyłany na serwer, a niektóre przeglądarki go nie zachowują.

— Jason Rice,

Oto link do Ustaw witrynę sieci Web platformy

— OzBob

1

Niekoniecznie prawda. Istnieje szkoła myślenia, że 301 jest diabłem z powodów buforowania. getluky.net/2010/12/14/301-redirects-cannot-be-undon

— fivedogit

2

Chociaż prawdą jest, że generalnie nie jest dobrym pomysłem robić to po stronie klienta, nie o to pytano. I nie pokazujesz, jak to zrobić, dlatego nie jest to odpowiedź. Ponadto w dzisiejszych czasach statycznych stron internetowych często nie ma możliwości zrobienia tego po stronie serwera (pomyśl o stronach Github), co oznacza, że musisz to zrobić na kliencie. Nadal możesz poprawić wyszukiwanie, dodając kanoniczne tagi linków, aby ludzie nie trafili na wersję inną niż ssl.

— oligofren

16

Co powiesz na to?

if (window.location.protocol !== 'https:') {
    window.location = 'https://' + window.location.hostname + window.location.pathname + window.location.hash;
}

Idealnie byłoby to zrobić po stronie serwera.

— keirog
źródło

brakuje portu

— eadmaster

13

if (location.protocol == 'http:')
  location.href = location.href.replace(/^http:/, 'https:')

— Steven Penny
źródło

5

Nie jest to metoda Javascript, aby odpowiedzieć na to pytanie, ale jeśli używasz CloudFlare, możesz pisać reguły strony, które przekierowują użytkownika znacznie szybciej do HTTPS i jest bezpłatne. Wygląda to tak w Regułach strony CloudFlare:

— Mikeumus
źródło

Uznałem to za bardzo przydatne, nie do odpowiedzi na pytanie w ramce, ale do dostarczenia użytecznych informacji o prawdopodobnie bardziej niezawodnym sposobie dla usługi SaaS, która nie oferuje zawsze włączonego protokołu SSL.

— MrMesees

3

Możesz to zrobić:

  <script type="text/javascript">        
        if (window.location.protocol != "https:") {
           window.location.protocol = "https";
        }
    </script>

— M.BRAHAM
źródło

To działa. Czy to standardowy sposób przekierowania? czy będzie działać we wszystkich przeglądarkach?

— mafuz

1

Funkcjonalny sposób

window.location.protocol === 'http:' && (location.href = location.href.replace(/^http:/, 'https:'));

— Дмитрий Васильев
źródło

1

Powinieneś to sprawdzić: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests

Dodaj ten metatag do swojego index.html wewnątrz głowy

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Mam nadzieję, że to pomogło.

— Itay Ben Shmuel
źródło

0

Lubię odpowiedzi na to pytanie. Ale aby być kreatywnym, chciałbym podzielić się jeszcze jednym sposobem:

<script>if (document.URL.substring(0,5) == "http:") {
            window.location.replace('https:' + document.URL.substring(5));
        }
</script>

— Charles Hamel
źródło

-1

<script type="text/javascript">
        function showProtocall() {

            if (window.location.protocol != "https") {
                window.location = "https://" + window.location.href.substring(window.location.protocol.length, window.location.href.length);
                window.location.reload();
            }
        }
        showProtocall();
</script>

— Vivek Srivastava
źródło

-1

Cześć, użyłem tego rozwiązania, działa idealnie. Nie trzeba sprawdzać, wystarczy użyć https

<script language="javascript" type="text/javascript">
document.location="https:" + window.location.href.substring(window.location.protocol.length, window.location.href.length);
</script>

— BrAiNee
źródło

3

czy to nie odświeży strony nawet jeśli protokołem jest https?

— Anthony

-2

Właśnie przetestowałem wszystkie warianty skryptu przetestowane przez Pui Cdm , w tym odpowiedzi powyżej i wiele innych przy użyciu php, htaccess, konfiguracji serwera i Javascript, wyniki są takie, że skrypt

<script type="text/javascript">        
function showProtocall() {
        if (window.location.protocol != "https") {
            window.location = "https://" + window.location.href.substring(window.location.protocol.length, window.location.href.length);
            window.location.reload();
        }
    }
    showProtocall();
</script>

dostarczone przez vivek-srivastava działa najlepiej i możesz dodać dodatkowe bezpieczeństwo w skrypcie Java.

— Piotr
źródło