如何使用 .htaccess 强制访问 HTTPS

如果你为你的域名安装 SSL 证书，你的下一步应该是配置应用将所有的网络流量通过 HTTPS 传输。

不像 HTTP，请求和响应使用明文进行收发，HTTPS 使用 TLS/SSL 在客户端和服务器之间进行交互时进行加密。

使用 HTTPS 取代 HTTP 有一些优点，例如：

• 所有数据双向加密。结果，敏感信息在被截取时不可读。
• HTTPS 允许你使用 HTTP/2 协议，可以显著提高网站性能。
• Google 更喜欢 HTTPS。 如果采用 HTTPS，你的网站会获得更好的排名。

转向可以在应用级别，也可以在服务器级别。本文讲解如何使用.htaccess文件将 HTTP 流量转到 HTTPS。

如果你有运行 Apache 的 Linux 服务器的 SSH root 访问权限，最好的方法是就是在域名的虚拟主机配置文件中设置转向。否则，你可以在域名的.htaccess文件中配置转向。 Apache 服务器在每页请求时，读取.htaccess文件，这将会减慢网络服务器的响应速度。

大部分控制面板，例如 cPanel允许你在图形用户界面中强制使用 HTTPS 转向。

一、使用.htaccess 将 HTTP 转向为 HTTPS

.htaccess是一个配置文件，对于 Apache webserver 服务器来说，每个目录下都可以有一份配置文件。这个文件被用来定义，Apache 如果从它所处的目录中处理文件，并且启用/禁用其他特性。

通常，.htaccess文件在域名根目录，但是你可以在子目录中定义其他的.htaccess文件。

想要将 HTTP 请求转向到 HTTPS，打开.htaccess文件，添加下面的代码：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

下面一一介绍每一行代码的用途：

• RewriteEngine On - 启用重写能力，并且允许你使用重写规则。
• RewriteCond %{HTTPS} off - 检查 HTTP 请求类型的连接。当条件满足时，执行下一行。我们仅仅想转向 HTTP 请求。如果你忽略这个条件，你将得到一个转向的死循环。
• RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] - 将所有 HTTP 转向到 HTTPS，附带状态码 301（Moved Permanently）。这个规则将会将http://example.com/about转向到https://example.com/about,或者将http://www.example.com/about转向到https://www.example.com/about

如果在这个文件中，还有其他规则，请在文件顶部添加其他的重写代码。

就这样！在添加这些内容后，保存文件，并且刷新你的浏览器。所有的 HTTP 请求将会被转向到 HTTPS。

在编辑.htaccess文件时，你不需要重启服务器，因为 Apache 会在每次请求时读取这个文件。

这里是另外一个例子，更多通用规则，将 HTTP 转向到 HTTPS：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

• HTTP_HOST 是浏览者在访问网站时，请求的域名。这个变量代表你的域名。
• REQUEST_URI 是你访问页面的 URI。

二、将所有 HTTP 转向到 HTTPS 并且 WWW 转向到 Non-WWW

任何网站都可以通过两个 URL 进行访问：带 www 前缀的（例如： www.example.com）和不带 www 前缀的（例如：example.com）。大部分网站拥有者选择其中一个版本作为自己最喜欢的域名，并且转向它。

想要将所有的 HTTP 请求转向 HTTPS，并且从 www 转向到 non-www 版本，在.htaccess文件中添加下面的内容：

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\.example\.com [NC]
RewriteRule ^(.*)$ https://example.com/$1 [L,R=301]

这里有两个条件。第一个检查连接是否是 HTTPS 的，并且第二个检查请求是否以 www 开头。如果其中一个条件为 true ([OR] 运算符），将会执行重写规则。

三、将所有 HTTP 转向到 HTTPS 并且 Non-WWW 转向到 WWW

如果你喜欢 www 版的网站，使用下面的规则，将请求从 HTTP 转向到 HTTPS，并且从 non-www 转向到 www。

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^example\.com [NC]
RewriteRule ^(.*)$ https://www.example.com/$1 [R=301,L]

四、总结

我们已经向你展示如何编辑你的.htaccess文件来将所有的 HTTP 流量转向到 HTTPS。

如果你可以访问 Apache 配置文件，为了更好的性能，你可以直接在域名的虚拟主机配置中通过创建一个301转向，来强制使用 HTTPS。