Cambiar correctamente entre HTTP y HTTPS utilizando .htaccess

Question

Tenemos un sitio de compras que alojamos en un host compartido (Mediatemple Gridserver). Algunas partes del sitio deben usar HTTPS (pago, etc.), pero el resto debe estar usando HTTP.

¿Alguien sabe cómo siempre podemos forzar el uso correcto de HTTP/HTTPS para determinadas URL? Lo hemos tenido funcionando en varios estados, pero no podemos obtener una solicitud para una página que debe estar en HTTP, pero se solicita con HTTPS para volver a cambiar correctamente.

He echado un vistazo alrededor de SO, pero no he podido encontrar una respuesta adecuada para esto.

Answer 1

que usar algo similar a esto para mi carpeta admin en WordPress:

#redirect all https traffic to http, unless it is pointed at /checkout 
RewriteCond %{HTTPS} on 
RewriteCond %{REQUEST_URI} !^/checkout/?.*$ 
RewriteRule ^(.*)$ http://mydomain.com/$1 [R=301,L] 

La parte RewriteCond %{HTTPS} on puede no funcionar para todos los servidores web. Mi servidor web requiere RewriteCond %{HTTP:X-Forwarded-SSL} on, por ejemplo.

Si desea forzar la inversa, intente:

#redirect all http traffic to https, if it is pointed at /checkout 
RewriteCond %{HTTPS} off 
RewriteCond %{REQUEST_URI} ^/checkout/?.*$ 
RewriteRule ^(.*)$ https://mydomain.com/$1 [R=301,L] 

Si quieres algunas formas alternativas para hacerlo, echa un vistazo a askapache.

Answer 2

creo que debe ser:

RewriteCond %{HTTPS} =on 
^/checkout(.*) http://shoppingsite.com/checkout$1 [R] 

Consulte la documentación mod_rewrite.

Answer 3

Esto debería funcionar en casi todos los escenarios y debe trabajar en su host real o .htaccess:

RewriteEngine on 
RewriteCond %{SERVER_PORT} ^80$ 
RewriteRule ^(.*)$ https://%{SERVER_NAME}/%{REQUEST_URI} [R=301,L] 

(no se olvide de la barra antes de% {} REQUEST_URI ya que esto puede permitir pasar un número de puerto, el cual es peligroso)

Answer 4

Como se detalla en this answer, arregle su aplicación para usar los enlaces https:// cuando sea necesario. No confíe en las redirecciones automáticas, esto podría llevarlo a una falsa sensación de seguridad si no ha hecho que sus enlaces/formularios servidos sobre https:// vayan también a las URL https://. El uso de mod_rewrite hace que sea más difícil detectar dichos errores (que también pueden ser vulnerabilidades).

Answer 5

RewriteEngine on 
RewriteCond %{HTTPS} off [OR] 
RewriteCond %{HTTP:X-Forwarded-Proto} !https 
RewriteRule ^(.*)$ https://%{SERVER_NAME}/%{REQUEST_URI} [R=301,L] 

Tuve algún problema para estar detrás de un loadballancer. Así como lo arreglé

Answer 6

Para mí funcionó esto (lo usé para el sitio de wordpress y para redirigir a HTTPS). Hay que añadir las líneas de condición y de reglas justo detrás de las líneas RewriteEngine y RewriteBase:

# BEGIN WordPress 
<IfModule mod_rewrite.c> 
RewriteEngine On 
RewriteBase/

# I added these two lines for redirect to HTTPS 
RewriteCond %{HTTP:X-Forwarded-Proto} !https 
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R=301,L] 
# (end of custom modifications) 

RewriteRule ^index\.php$ - [L] 
RewriteCond %{REQUEST_FILENAME} !-f 
RewriteCond %{REQUEST_FILENAME} !-d 
RewriteRule . /index.php [L] 
</IfModule> 
# END WordPress` 

Tenga una mirada a condicionar RewriteCond %{HTTP:X-Forwarded-Proto} !https - sólo esto trabajó para mi servidor de hosting. (I intentado RewriteCond %{SERVER_PORT} !^443$ o RewriteCond %{HTTPS} off también, pero sin éxito.