Problemas com force https, proxy e convites

Felip · Junho 5, 2020, 10:16pm

Minha instância do Discourse está atrás de um proxy:

server {
    server_name forum.[...];

    location / {
        proxy_pass http://IP_ADDRESS;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;

    }

    client_max_body_size 10m;

    listen 443 ssl; # gerenciado pelo Certbot
    ssl_certificate /etc/letsencrypt/live/forum.[...]/fullchain.pem; # gerenciado pelo Certbot
    ssl_certificate_key /etc/letsencrypt/live/forum.[...]/privkey.pem; # gerenciado pelo Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # gerenciado pelo Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # gerenciado pelo Certbot

}
server {
    if ($host = forum.[...]) {
        return 301 https://$host$request_uri;
    } # gerenciado pelo Certbot

    server_name forum.smbcn.org;

    listen 80;
    return 404; # gerenciado pelo Certbot

}

Isso leva ao servidor onde o Discourse está instalado (instalação padrão do Docker):

server {
        listen 80; listen [::]:80;
        server_name forum.[...];

        client_max_body_size 10m;

        location / {
                proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
                proxy_set_header Host $http_host;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Real-IP $remote_addr;
        }
}

Quando forço o HTTPS, usuários convidados não conseguem prosseguir para o registro. Os logs do navegador mostram um erro 403 (CSRF inválido), mesmo que um token CSRF tenha sido gerado com sucesso. Os convites funcionam perfeitamente quando o HTTPS não é forçado.

Acho que há algo errado na forma como estou proxyando solicitações HTTPS para HTTP, talvez alguns cabeçalhos estejam faltando?

Felip · Julho 11, 2020, 2:22pm

Parece que estou realmente perdendo algo. A incapacidade de forçar o HTTPS implica que o logotipo não pode ser exibido (não tão grave no momento). Hoje descobri que também recebo um erro relacionado ao CSRF (

hawm · Julho 11, 2020, 4:06pm

Talvez você só precise forçar o HTTPS no seu proxy frontal e desativá-lo no Discourse.

Felip · Julho 12, 2020, 7:56am

@hawm Acredito que esta seja minha configuração atual.

michaeld · Julho 12, 2020, 8:38am

Como você está definindo a variável $scheme?

Felip · Julho 12, 2020, 3:08pm

Não defino, acho que confio no valor padrão. Isso está errado?

michaeld · Julho 12, 2020, 4:56pm

Se você estiver usando proxy, isso pode dar errado. Na minha experiência, essa é a principal razão para os problemas que você está descrevendo. Tente definir como “https” em vez disso (talvez apenas ignore a variável e coloque “https” diretamente ali).

Felip · Julho 13, 2020, 8:13am

@michaeld Sim! Você acertou em cheio! Muito obrigado!

Tópico		Respostas	Visualizações
Moved site behind proxy, favicon and header not using https anymore Support	11	2278	26 de Maio de 2020
Can't enable DiscourseID on a site with force-https disabled Self-hosting discourse-id	5	54	26 de Março de 2026
403 Error when changing any settings after enabling force_https with proxy Support	5	982	30 de Novembro de 2019
SSL problem with SSL proxy Self-hosting	6	739	13 de Julho de 2022
DiscourseConnect generates HTTP redirects even with force_https on Self-hosting discourseconnect	4	331	27 de Maio de 2024

Problemas com force https, proxy e convites

Tópicos relacionados