强制 HTTPS、代理和邀请相关的问题

Felip · 2020 年6 月 5 日 22:16

我的 Discourse 实例位于代理之后：

server {
    server_name forum.[...];

    location / {
        proxy_pass http://IP_ADDRESS;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;

    }

    client_max_body_size 10m;

    listen 443 ssl; # 由 Certbot 管理
    ssl_certificate /etc/letsencrypt/live/forum.[...]/fullchain.pem; # 由 Certbot 管理
    ssl_certificate_key /etc/letsencrypt/live/forum.[...]/privkey.pem; # 由 Certbot 管理
    include /etc/letsencrypt/options-ssl-nginx.conf; # 由 Certbot 管理
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # 由 Certbot 管理

}
server {
    if ($host = forum.[...]) {
        return 301 https://$host$request_uri;
    } # 由 Certbot 管理

    server_name forum.smbcn.org;

    listen 80;
    return 404; # 由 Certbot 管理

}

这会导致 Discourse 安装所在的服务器（标准 Docker 安装）出现以下配置：

server {
        listen 80; listen [::]:80;
        server_name forum.[...];

        client_max_body_size 10m;

        location / {
                proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
                proxy_set_header Host $http_host;
                proxy_http_version 1.1;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Real-IP $remote_addr;
        }
}

当我强制启用 HTTPS 时，被邀请的用户无法继续注册。浏览器日志显示 403 错误（CSRF 无效），尽管 CSRF 令牌已成功生成。如果不强制 HTTPS，邀请功能则正常工作。

我猜测问题可能出在我将 HTTPS 请求代理到 HTTP 的方式上，也许是缺少某些请求头？

Felip · 2020 年7 月 11 日 14:22

看起来我确实漏掉了什么。无法强制使用 HTTPS 意味着 Logo 无法显示（目前还不算太严重）。我今天刚发现，当我尝试在 Sidekiq 中删除任务时，还会遇到一个与 CSRF 相关的错误（“禁止访问”）。我在 /var/discourse/shared/standalone/log/rails/unicorn.stderr.log 中发现了以下内容：

WARN – : 攻击已被 Rack::Protection::HttpOrigin 阻止

我感到相当无助，任何帮助都将不胜感激。

hawm · 2020 年7 月 11 日 16:06

也许你只需要在前置代理上强制启用 HTTPS，并在 Discourse 上禁用它。

Felip · 2020 年7 月 12 日 07:56

@hawm 我想这是我当前的配置。

michaeld · 2020 年7 月 12 日 08:38

你是如何设置 $scheme 变量的？

Felip · 2020 年7 月 12 日 15:08

我没有设置，我想我是依赖默认值的，这样对吗？

michaeld · 2020 年7 月 12 日 16:56

如果您正在使用代理，这可能会出问题。根据我的经验，这是导致您所描述问题的首要原因。尝试将其设置为“https”（或者干脆跳过该变量，直接在那里填入“https”）。

Felip · 2020 年7 月 13 日 08:13

@michaeld 是的！你完全说对了！非常感谢！

system · 2020 年8 月 12 日 08:13

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

话题		回复	浏览量
Moved site behind proxy, favicon and header not using https anymore Support	11	2277	2020 年5 月 26 日
Can't enable DiscourseID on a site with force-https disabled Self-hosting discourse-id	5	54	2026 年3 月 26 日
403 Error when changing any settings after enabling force_https with proxy Support	5	982	2019 年11 月 30 日
SSL problem with SSL proxy Self-hosting	6	738	2022 年7 月 13 日
DiscourseConnect generates HTTP redirects even with force_https on Self-hosting discourseconnect	4	328	2024 年5 月 27 日

强制 HTTPS、代理和邀请相关的问题

相关话题