版權聲明:本文由張戈原創文章,轉載請注明出處:
文章原文鏈接:https://www.qcloud.com/community/article/78
來源:騰雲閣 https://www.qcloud.com/community
自從百度推薦全站 https 以來,一直就想讓博客跟上這個節奏。可惜,國內所有的免費CDN都不支持https。所以要開啟https勢必要暴露網站真實ip,按照博客現在被攻擊的節奏,估計一暴露就沒有了安生的日子!
偶爾的心血來潮,百度了一把支持https的CDN,打開了騰訊雲的一個Q&A:
1.3 CDN支持https嗎?
https目前處在邀請測試階段,暫時還不提供申請,還請諒解。我們正在完善此特性,一旦產品成熟,我們會第一時間公布,敬請期待。
呵呵,邀請測試是么?既然是自家的產品,那還是毛遂自薦吧!
於是找到了公司騰訊雲的產品經理,說了我這個想法,於是有幸就用上了國內這個為數不多的特權。
雖然,走的是后門,但是測試責任還是得盡好才是,因此也和產品經理沒少交流。博客全面https化也遇到了非常多的問題,下面就讓我來細細道來。
一、http回源
騰訊雲CDN默認是http回源,這樣就有一個問題:因為我們要全站https,不想有http, 那么勢必需要將http的請求301到https上。這時騰訊雲通過http過來請求源站,那么請求到的就是301了!這也是前些天博客時不時來一個502的原因了。大部分請求對301的支持不是很完善。。。
剛開始還無法自行設置回源模式,還好我用上不久,就發布了新版本,支持回源選擇。妥妥的選擇了https回源。然后靜態文件我沒有做強制https,因此靜態文件我選擇http回源,略微優化一下負載。
二、微信公眾號
如上設置之后,又發現了一個新問題,微信粉絲跟我反饋,公眾號不能自動回復了!
檢查了下,原來是因為公眾號只支持http模式的token請求,因此微信公眾號的http請求得到的也是301結果,導致自動回復失敗!
看來全部跳到https也是行不通的。測試了半天,最后用如下nginx規則搞定:
server{
listen 80; server_name zhangge.net; root /home/wwwroot/zhangge.net; location / { #如果是post請求就交給 index.php,從而支持微信公眾號自動回復 if ( $request_method = POST ) { rewrite ^/(.*)$ /index.php?$1 last; break; } #如果是Get請求,則301到https站點 if ( $request_method = GET ) { rewrite (.*) https://zhangge.net$1 permanent; } #其他任何請求,都301到https站點,這是補刀 rewrite (.*) https://zhangge.net$1 permanent; } #php動態請求交給php-cgi location ~ [^/]\.php(/|$) { try_files $uri =404; fastcgi_pass unix:/dev/shm/php-cgi.sock; fastcgi_index index.php; include fastcgi.conf; } } 三、http被緩存
雖然CDN對301的緩存支持不好,但是不代表不能緩存301!因此,騰訊雲CDN偶爾會緩存網站的http結果,導致強制跳轉https失效!結果就是訪問http頁面也不會自動跳轉了。
而現在騰訊雲還不支持在節點直接設置強制https跳轉,實在沒辦法,在網頁的header里面加入如下js代碼搞定這個問題:
<!-- 如果檢測到是http頁面,則自動跳轉到對應的https頁面 --> <script type="text/javascript"> if (document.location.protocol != "https:") { location.href = location.href.replace(/^http:/,"https:"); } </script> 四.各種跳轉
https之后,發現以前的文章外鏈自動跳轉出問題了,把文章中的內鏈也當成了外鏈!而且評論中我自己的鏈接也變成了跳轉。
看了下,原來是之前的函數並沒有兼容https,於是改了下,搞定。
//文章外鏈跳轉支持https add_filter('the_content','link_jump',999); function link_jump($content){ preg_match_all('/<a(.*?)href="(.*?)"(.*?)>/',$content,$matches); if($matches){ foreach($matches[2] as $val){ if(strpos($val,'://')!==false && strpos($val,COOKIE_DOMAIN)===false && !preg_match('/\.(jpg|jepg|png|ico|bmp|gif|tiff)/i',$val) && !preg_match('/(ed2k|thunder|Flashget|flashget|qqdl|qqbrowser):\/\//i',$val)){ $content=str_replace("href=\"$val\"", "href=\"https://zhangge.net/go/?url=$val\" ",$content); } } } return $content; } //評論者鏈接跳轉支持https function commentauthor_diy($comment_ID = 0) { $url = get_comment_author_url( $comment_ID ); $author = get_comment_author( $comment_ID ); if ( empty( $url ) || 'http://' == $url ) { echo $author; } else { if (!preg_match('/http(s|):\/\/zhangge\.net/i',$url)) { echo "<a href='https://zhangge.net/go/?url=$url' rel='external nofollow' target='_blank' class='url'>$author</a>"; } else { echo "<a href='$url' target='_blank' class='url'>$author</a>"; } } } 五.外部資源
眾所周知,要全站https,那么所有頁面都不能存在非https資源,否則瀏覽器就會攔截這些內容,並顯示驚嘆號!
於是大把的問題迎面而來:
1.百度分享不支持https
這個問題最終我用最苦逼的方法解決了,那就是將百度分享代碼中的js,已經js會請求到的其他js/css資源全部都下載到本地(具體會請求到哪些資源,我都是在瀏覽器開發者模式中獲取的),並修改其中的鏈接指向到本地,搞定了百度分享的大部分功能。
比如,分享到QQ空間、微博,分享到微信顯示二維碼都搞定了,唯獨那個“更多”選擇恕我無能為力:
最后,我將修改好的文件上傳到支持https的七牛CDN,所以有需要的人可以將百度的分享鏈接修改如下,即可使用:
<script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"1","bdSize":"16"},"share":{"bdSize":16}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='https://dn-zgboke.qbox.me/static/bdshare.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script> 說白了,就是將之前的百度分享代碼中的js修改為我提供的js即可:
https://dn-zgboke.qbox.me/static/bdshare.js
如此解決之后,瀏覽器https就是綠色了,不會有黃色的驚嘆號,不過如果你點擊分享,依然會請求到非https的百度分享api,這時候會出現黃色驚嘆號,恕我無能為力了,但不影響使用!
2.新浪微博關注按鈕
好吧,這個問題我暫時沒時間處理,直接屏蔽了這個功能,估計參考上面的方法可以解決。
六、整理總結
全站https已有3天,總體還是不錯的!不過,騰訊雲CDN的https功能目前還在邀請測試階段,所以想嘗鮮的小伙伴就只能耐心等待正式公測了。相信這個國內唯一支持https的CDN會大受歡迎的!
不知不覺已經寫了這么長了!暫時就整理這么多,后續有新的問題再更新到這篇文章當中,敬請期待!