场景
我通过 nginx 运行 Phusion Passenger。
我已将 nginx 配置为使用 SSL 并将所有 HTTP 流量重新路由到 HTTPS。
我还需要在我的 Rails 应用程序中启用force_ssl选项吗?
如果是这样,为什么以及有什么优势?
如果我不启用它,我会带来哪些安全风险?
nginx配置:
server {
listen 80;
server_name myapp.com
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443 ssl;
server_name myapp.com;
ssl_certificate /etc/ssl/certs/nginx.pem;
ssl_certificate_key /etc/ssl/certs/nginx.key;
root /home/user/rails/app/public;
passenger_enabled on;
}