Chargement sans fin derrière Cloudflare

Soutien
14

En testant de contourner le proxy Apache2 sur l’hôte du conteneur Discourse, et en désactivant les redirections HTTPS forcées sur Cloudflare pour tester les connexions HTTP simples via curl, j’ai finalement trouvé le coupable chez Cloudflare :

L'image montre une fonctionnalité étiquetée "Automatic HTTPS Rewrites" sur une page de paramètres Web, conçue pour changer automatiquement "http" en "https" pour toutes les ressources ou liens d'un site Web, avec une option pour créer une règle de configuration par nom d'hôte. (Légendé par l'IA)
L'image montre une fonctionnalité étiquetée "Automatic HTTPS Rewrites" sur une page de paramètres Web, conçue pour changer automatiquement "http" en "https" pour toutes les ressources ou liens d'un site Web, avec une option pour créer une règle de configuration par nom d'hôte. (Légendé par l'IA)1053×303 11.9 KB

Je ne suis pas sûr de ce qui a changé avec notre passage de VPS et/ou la mise à niveau de Discourse 3.5.0.beta3 vers 3.5.0.beta4 et/ou simultanément chez Discourse, mais il semble que quelque chose dans les documents HTML, CSS ou JavaScript de Discourse fasse échouer la réécriture HTTPS des URL intégrées par Cloudflare. Il semble que les requêtes curl partielles et en attente n’étaient pas vraiment liées, ou peut-être le sont-elles. Il est étrange que dans l’onglet réseau du navigateur, on puisse voir le contenu partiel du document HTML, comme si la fonctionnalité de réécriture HTTPS le faisait lors du streaming à travers le document.

Quelqu’un d’autre a-t-il une instance et un compte Cloudflare pour tester cela, qu’il s’agisse d’un problème général ou lié à notre instance/configuration particulière ?

Au fait, pour tester le contournement du proxy ainsi que le HTTP, tout en gardant la connexion via le proxy active, l’ajustement manuel de la configuration Nginx dans le conteneur comme suit fonctionne parfaitement :

root@dietpi-discourse:/var/www/discourse# cat /etc/nginx/conf.d/outlets/server/10-http.conf
listen unix:/shared/nginx.http.sock;
set_real_ip_from unix:;
listen 8080;
listen [::]:8080;
listen 8443 ssl;
listen [::]:8443 ssl;
http2 on;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_certificate /shared/fullchain.cer;
ssl_certificate_key /shared/dietpi.com.key;

ssl_session_tickets off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:1m;

Il est important de supprimer les redirections HTTPS et l’en-tête HSTS, bien sûr, et d’exposer les ports ajoutés.