HSTS и двойной редирект

Я управляю небольшим веб-сайтом в среде LAMP общего хостинга: в основном это означает, что единственное, что я могу редактировать, это файл htaccess.

Я хотел добавить поддержку HSTS (и я сделал это), но, когда я проверил здесь свой веб-сайт на соответствие требованиям предварительной загрузки HSTS, я получил следующую ошибку:

Ошибка: HTTP перенаправляет сначала на www

http://example(HTTP) следует немедленно перенаправить на https://example(HTTPS) перед добавлением субдомена www. Прямо сейчас, первое перенаправление - это https://www.example.дополнительное перенаправление, чтобы гарантировать, что любой браузер, который поддерживает HSTS, будет записывать запись HSTS для домена верхнего уровня, а не только для субдомена.

Итак, я полагаю, что я должен перенаправить пользователей таким образом:

1. http://example (это то, что пользователь вводит в адресной строке своего браузера)
2. https://example (мы перенаправляем его на HTTPS-версию сайта)
3. https://www.example (мы перенаправляем его снова на поддомен www)

Мой текущий редирект сделан следующим образом:

RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Я попытался добавить перенаправление до последней строки, таким образом:

RewriteRule ^(.*)$ https://example.com/$1 [R,L]

но я получил сообщение "страница не перенаправляет должным образом" из браузера.

Итак, как правильно перенаправить пользователя с http-версии сайта на https и, наконец, на https с www? И: есть ли риски?

Как отмечено в требованиях к представлению списка предварительной загрузки HSTS :

2. Перенаправьте с HTTP на HTTPS на том же хосте, если вы прослушиваете порт 80.

Вам нужно перенаправить на тот же хост (т.е. HTTP_HOST), а не просто на example.comпервый. Вам не нужно перенаправлять, example.comесли пользователь запрашивает www.example.comнапрямую. (Тест будет включать запрос example.com.) После этого вы можете при необходимости перенаправить на канонический поддомен www.

Я попытался добавить перенаправление до последней строки, таким образом:

RewriteRule ^(.*)$ https://example.com/$1 [R,L]

Это создаст цикл перенаправления, потому что предыдущая RewriteCondдиректива применяется только к первой RewriteRule, поэтому вторая RewriteRuleбудет выполняться безоговорочно.

Попробуйте что-то вроде следующего:

# HTTP to HTTPS redirect
RewriteCond %{SERVER_PORT} 80
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R,L]

# Canonical www redirect
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule (.*) https://www.%{HTTP_HOST}/$1 [R,L]

HTTP_HOSTПеременный сервер содержит значение Hostзапроса HTTP заголовка (то есть. Любой хост запрашивается).

Второе состояние перенаправления ... для всех запросов, когда запрошенный хост не запускается, www.затем префикс www.к хосту. Однако это может быть неприемлемо, если у вас есть несколько поддоменов (которые разрешаются в одном и том же месте), которые вы хотите сохранить отдельно, так как они, естественно, будут перенаправлены на поддомен www.

Обратите внимание, что это 302 (временные) перенаправления. Измените на 301 только тогда, когда вы уверены, что он работает нормально.

И: есть ли риски?

Никаких рисков. Да, возможно, есть два перенаправления, тогда как раньше мог существовать только один (который, возможно, менее эффективен). Но есть только два перенаправления, что совершенно нормально для SEO. Кроме того, с HSTS, пользовательский агент только дважды испытывает двойное перенаправление самое большее.

RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

В сторону: (Игнорируя HSTS на данный момент ...) Это не было бы завершено само по себе, так как не канонизирует запрос https://example.com/...(т. Е. HTTPS и апекс домена).

Дальнейшее чтение:

• Мой ответ на связанный вопрос о Pro Webmasters SE, в котором более подробно рассказывается о реализации HSTS .htaccess: https://webmasters.stackexchange.com/a/112264/52912