项目 http 升级到 https 全程总结

1.阿里云负载均衡配置
1>购买证书

2>签发证书后，选择 '部署到云产品 -> SLB'

3>添加监听端口
    1)443
        1.开启会话保持，植入 Cookie

        2.勾选 '附加 HTTP 头字段'，勾选上 『通过X-Forwarded-Proto头字段获取SLB的监听协议』(不然微信判断环境不是 HTTPS)

        3.选择证书

    2)80
        1.开启 '监听转发'，目的监听选择 'HTTPS:443'

        这么做，是让我们输入域名，默认访问的就是 https，不然浏览器默认输入域名，端口默认是 80


/*
    这里都是我们自己配置，尝试、调通的结果，没有运维，不清楚对不对！！！
 */

2.微信支付授权目录，需要将协议改成 https://

3.三方登录，微信、QQ、微博、支付宝，不修改 https 也可以照常访问

4.微信公众号，服务器配置 URL，不修改 https 也可以照常访问

5.微信 JS-SDK 调用，包含微信分享、微信扫一扫等，发现都不可以使用，显示 '签名错误'，'config:fail, Error:invalid signature'
之前 http 时，是没有问题的，而且在测试服务器上免费的 https，也正常，就是线上真实的 https(线上和测试服务器架构不同，线上采用了负载均衡，且 443 转后端 80) 一直异常。

考虑到代码，应该是没有问题的，就查看下签名的生成方法，我们使用的是 easywechat，查看源码：
    vendor/overtrue/wechat/src/BasicService/Jssdk/Client.php 签名生成方法 configSignature()

        protected function configSignature(string $url = null, string $nonce = null, $timestamp = null): array
        {
            $url = $url ?: $this->getUrl();
            $nonce = $nonce ?: Support\Str::quickRandom(10);
            $timestamp = $timestamp ?: time();

            return [
                'appId' => $this->getAppId(),
                'nonceStr' => $nonce,
                'timestamp' => $timestamp,
                'url' => $url,
                'signature' => $this->getTicketSignature($this->getTicket()['ticket'], $nonce, $timestamp, $url),
            ];
        }

    方法没问题，唯一可能的就是 $url 不同，查看 url 生成方法，$this->getUrl()：
        public function getUrl(): string
        {
            if ($this->url) {
                return $this->url;
            }

            return Support\current_url();
        }

    调用 vendor/overtrue/wechat/src/Kernel/Support/Helpers.php 的 current_url()
        function current_url()
        {
            $protocol = 'http://';

            if ((!empty($_SERVER['HTTPS']) && 'off' !== $_SERVER['HTTPS']) || ($_SERVER['HTTP_X_FORWARDED_PROTO'] ?? 'http') === 'https') {
                $protocol = 'https://';
            }

            return $protocol.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
        }

发现判断也很合理啊，有考虑到 http 和 https 协议，没问题啊！

最后，尝试，在线上输出下最终生成的 $url 值，发现：
    1.我们页面上访问的是：
        https://www.xxx.cn/xxx

    2.输出的 url 是：
        http://www.xxx.cn/xxx

只能说明，current_url() 里的 https 判断错误，和我们想象的不同，进一步输出了：
    $_SERVER['HTTPS']

发现不存在！到此为止，就知道错误原因了，我们自以为访问的是 https，$_SERVER['HTTPS'] 就应该为真。(这应该也是我们的负载均衡加载有关，负载均衡配置的 443，但是后端服务器却是 80，其实还是 http，实在是不懂运维，很痛苦！)

然后看着接下来的配置：
    $_SERVER['HTTP_X_FORWARDED_PROTO']

字面意思，就是 '转发协议'。脑子里突然想起当时配置负载均衡的 443 监听时，'附加 HTTP 头字段' 好像有几个要勾选的选项，看看那里面是不是有这个设置，已查看果然有！然后无需修改代码，勾选上该配置即可！！！到此问题解决！！！

感慨下，别人这么写代码，都是有原因的，只是自己从来没碰到这种情况。这种应该就是一种平常的架构模式，只是自己没见过！不懂！    

6.https 站，加载 http 请求，报错！
js、css、pdf等都不可以，貌似碰到的目前只有 image 可以访问。

js、css 报错：
    Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request has been blocked; the content must be served over HTTPS.

image 未报错，但是有警告：
    Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure image 'xxx'. This content should also be served over HTTPS.

这里记录下，网上搜索的一些相关内容：
    1>相对协议
        我们一般使用：http://、https://，相对协议是：//(去掉 http:、https:)。
        浏览器会根据服务器端的配置是 http 还是 https，自动使用不同的协议加载资源

    2>头部添加，会自动将页面里的 http 请求，升级为安全的 https 请求
        <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
        但这种做法的前提是，我们的资源，同时支持 http 和 https 请求

    3><script>、<link>、<iframe>、<object>，CSS 中的 url，以及使用 XMLHTTPRequest 的请求，都会报错

参考文章：
    https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=en(en 改为 zh，就是中文)

    https://developer.mozilla.org/zh-CN/docs/Security/MixedContent

    https://blog.cloudflare.com/fixing-the-mixed-content-problem-with-automatic-https-rewrites/

解决方法：
    基本就是要支持所有的链接为 https 请求


    处理大批量的混合内容：可以采用 CSP(内容安全策略)

        Content-Security-Policy: upgrade-insecure-requests - 所有 http 请求，自动转换为 https 请求(要求所有资源支持 https 请求)

        Content-Security-Policy: block-all-mixed-content - 此指令指示浏览器从不加载混合内容；所有混合内容资源请求均被阻止，包括主动混合内容和被动混合内容

        Content-Security-Policy-Report-Only - 可以使用内容安全政策收集网站上的混合内容报告(查看第一篇参考文章)

我们项目内修改：
    1.将所有外部请求，例如：百度地图等 js 引入，全部改为相对协议引入 '//'。

    2.自己站内的资源，统一采用系统默认的 url() 和 asset() 方法，自动识别 http 或 https 协议

    3.对于 '七牛云' 上传 image、js、css、pdf 等资源。image 暂且不修改，js 和 css 我们使用的是本地，并未放到七牛云上，还可暂时使用。七牛云的 pdf 文件访问，我们可能得采用其他方法来解决了！(我们的七牛没咋配置，还是 http)

        pdf 实现，写了一个后端代理方法：

            public function pdfProxy(Request $request)
            {
                $path = urldecode($request->input('pdf'));

                $filename = basename($path);
                $content = file_get_contents($path);
                header('Content-Type: application/pdf');
                header('Content-Length: ' . strlen($content));
                header('Content-Disposition: inline; filename="' . $filename . '"');
                header('Cache-Control: private, max-age=0, must-revalidate');
                header('Pragma: public');
                ini_set('zlib.output_compression','0');

                die($content);
            }

        /*
            这种方法，是跨域之类的，通用解决方案，借助后端来请求，也就不存在 http 和 https 问题，而且解决了跨域问题！
            这种方法适合少量地方使用，最好的实现还是配置 HTTPS
         */

        /*
            七牛云最终方案，是需要给空间配置融合CDN，配置 HTTPS。
         */

作者：beyond__devil
来源：CSDN
原文：https://blog.csdn.net/beyond__devil/article/details/86629562