シナリオ
nginx を介して Phusion Passenger を実行しています。
SSL を使用し、すべての HTTP トラフィックを HTTPS に再ルーティングするように nginx を構成しました。Rails アプリでforce_ssl
オプション
を有効にする必要はありますか?
もしそうなら、その理由と利点は何ですか?
有効にしない場合、どのようなセキュリティ リスクが発生しますか?
nginx 構成:
server {
listen 80;
server_name myapp.com
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443 ssl;
server_name myapp.com;
ssl_certificate /etc/ssl/certs/nginx.pem;
ssl_certificate_key /etc/ssl/certs/nginx.key;
root /home/user/rails/app/public;
passenger_enabled on;
}