Nginx反向代理时后端默认识别不到HTTPS协议,需配置proxy_set_header X-Forwarded-Proto $scheme;并使后端信任该头且指定可信代理IP。
当 Nginx 作为反向代理时,后端应用(如 Node.js、Java、Python 等)默认拿到的请求协议是 http,即使用户实际通过 https 访问。这是因为 Nginx 与后端之间通常是 HTTP 明文通信,原始的 HTTPS 信息在代理层被“终止”了。要让后端正确识别客户端真实协议(即 https 或 http),关键在于:Nginx 主动传递协议信息,后端主动读取并信任该信息。
配置 Nginx 透传 X-Forwarded-Proto
Nginx 需在 proxy_pass 时显式设置请求头,把客户端实际使用的协议告诉后端:
- 使用
proxy_set_header X-Forwarded-Proto $scheme;——$scheme在 Nginx 中自动取值为http或https(取决于客户端直连 Nginx 时用的协议) - 该行必须放在
location块内,且在proxy_pass之前 - 完整示例片段:
location / {
proxy_pass http://127.0.0.1:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme; # ? 关键一行
}后端应用需启用“信任代理头”机制
仅设置请求头还不够。后端框架默认不信任来自代理的 X-Forwarded-* 头,以防伪造。必须显式开启信任,并指定可信代理 IP(如 Nginx 所在服务器):
-
Express(Node.js):用
app.set('trust proxy', '127.0.0.1');,之后req.protocol自动返回https或http -
Spring Boot:配置
server.forward-headers-strategy=framework,并设server.tomcat.remote-ip-header=x-forwarded-for和server.tomcat.protocol-header=x-forwarded-proto -
Django:设置
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https'),并确保USE_X_FORWARDED_PORT和USE_X_FORWARDED_HOST按需开启
避免常见陷阱
几个容易出错但影响结果的关键点:
- 不要在 Nginx 中硬编码
X-Forwarded-Proto https—— 这会导致 HTTP 请求也被标记为 HTTPS - 如果 Nginx 前还有 CDN 或负载均衡(如阿里云 SLB、Cloudflare),需确认它们是否已透传
X-Forwarded-Proto;若没有,Nginx 的$scheme可能仍是http(因为 CDN 到 Nginx 是 HTTP) - 后端信任的代理 IP 必须准确。若填错(如写成
0.0.0.0/0),存在安全风险;若漏填(如忽略 IPv6 地址),可能导致部分请求协议识别失败
验证是否生效
最直接的方式是让后端打印或返回原始请求头:
- 查看日志中是否收到
X-Forwarded-Proto: https(HTTPS 访问时) - 检查后端
req.protocol(Express)、request.getScheme()(Spring)、request.scheme(Django)是否为https - 用 curl 模拟测试:
curl -H "X-Forwarded-Proto: https" http://your-domain/api/test,确认后端响应符合预期
