307 код ответа сервера: 307 Temporary Redirect — HTTP

Использование 302, 303 или 307 для временных перенаправлений

Как видно из приведенной выше диаграммы, для временных перенаправлений у вас есть три варианта: 302, 303 или 307. Однако большинство клиентов обрабатывают статус 302 код в качестве ответа 303 и измените метод HTTP-запроса на GET. Это не идеально с точки зрения безопасности.

» RFC 1945 и RFC 2068 указывают, что клиенту не разрешено изменять метод перенаправленного запроса. Однако большинство существующих реализаций пользовательских агентов обрабатывают 302, как если бы это был ответ 303, выполняя GET для значения поля Location независимо от исходного метода запроса. Коды состояния 303 и 307 были добавлены для серверов, которые хотят однозначно указать, какая реакция ожидается от клиента. ”
— HTTP/1.1. Определения кодов состояния, W3.org

Таким образом, для временных перенаправлений, когда вам необходимо поддерживать метод HTTP-запроса, используйте более строгий ответ HTTP 307 Temporary Redirect .

перенаправление /register-form.html на signup-form.html или с /login.php на /signin.php.

В случаях, когда вам нужно изменить метод запроса перенаправления на GET, вместо этого используйте ответ 303 See Other .

перенаправление запроса POST со страницы /register.php для загрузки страницы /success.html через запрос GET.

Если ваша целевая аудитория не использует устаревшие клиенты, избегайте использования ответа перенаправления 302 Found .

Понимание HTTP 307 Внутреннее перенаправление для сайтов, поддерживающих только HTTPS

Если у вас есть сайт, поддерживающий только HTTPS (что вам и следует делать), при попытке небезопасного посещения его через обычный http:// ваш браузер автоматически перенаправит на его безопасный https:// версия. Как правило, это происходит с ответом перенаправления 301 Moved Permanently от сервера.

Например, если вы посетите http://citibank.com и загрузите DevTools в Chrome и выберите вкладку Network , вы увидите все запросы, сделанные между браузером и сервером.

Первый ответ — 301 Moved Permanently , который перенаправляет браузер на HTTPS-версию сайта.

Если мы углубимся в поля Headers первого запроса, то увидим, что заголовок ответа Location определяет безопасный URL-адрес для перенаправления.

Проблема с этим подходом заключается в том, что злоумышленники могут перехватить сетевое соединение, чтобы перенаправить браузер на пользовательский URL-адрес. Подобные атаки типа «человек посередине» (MITM) довольно распространены. Популярный сериал даже подделывал его в одном из своих эпизодов.

Кроме того, злоумышленник может запустить атаку MITM без изменения URL-адреса, отображаемого в адресной строке браузера. Например, пользователю может быть предоставлена ​​фишинговая страница, которая выглядит точно так же, как исходный сайт.

А поскольку все выглядит одинаково, включая URL-адрес в адресной строке, большинство пользователей с удовольствием введут свои учетные данные. Вы можете себе представить, почему это может быть плохо.

Безопасное перенаправление с HTTP 307 Внутреннее перенаправление

Теперь давайте попробуем тот же пример с Kinsta. Посещение http://kinsta.com приводит к сетевым запросам, как показано на скриншоте ниже.

Первый запрос сайта аналогичен предыдущему примеру, но на этот раз он приводит к 307 Внутренний ответ перенаправления . Нажав на нее, вы увидите более подробную информацию об этом ответе.

Разверните свое приложение в Kinsta. Начните прямо сейчас с бесплатной пробной версии.

Запустите свои приложения Node.js, Python, Go, PHP, Ruby, Java и Scala (или почти что угодно, если вы используете свои собственные Dockerfiles) за три простых шага!

Начать бесплатную пробную версию

Примечание: Если вы попытаетесь посетить сайт напрямую с https:// , вы не увидите этот заголовок, так как браузеру не нужно выполнять какое-либо перенаправление.

Обратите внимание на заголовок ответа Non-Authoritative-Reason: HSTS. Это HTTP Strict Transport Security (HSTS), также известный как заголовок ответа Strict-Transport-Security.

Что такое HSTS (строгая транспортная безопасность)?

IETF ратифицировала строгую транспортную безопасность HTTP (HSTS) в 2012 году, чтобы заставить браузеры использовать безопасные соединения, когда сайт работает строго по протоколу HTTPS.

Это похоже на то, как Chrome или Firefox говорят: «Я даже не буду пытаться запрашивать этот сайт или какие-либо его ресурсы по небезопасному протоколу HTTP. Вместо этого я поменяю его на HTTPS и попробую еще раз».

Вы можете следовать руководству Kinsta о том, как включить HSTS, чтобы запустить его на своем веб-сайте WordPress.

Углубление в заголовок ответа второго запроса даст нам лучшее понимание.

Здесь вы можете увидеть заголовок ответа strict-transport-security: max age=31536000.

Атрибут max-age заголовка ответа strict-transport-security определяет, как долго браузер должен следовать этому шаблону. В приведенном выше примере это значение равно 3153600 секунд (или 1 год).

Как только сайт вернет этот заголовок ответа, браузер даже не будет пытаться сделать обычный HTTP-запрос. Вместо этого он выполнит внутреннее перенаправление 307 на HTTPS и повторит попытку.

Каждый раз, когда этот процесс повторяется, заголовки ответов сбрасываются. Следовательно, браузер не сможет сделать небезопасный запрос в течение неопределенного периода времени.

Если вы размещаете свой сайт на Kinsta, вы можете создать заявку в службу поддержки, чтобы добавить заголовок HSTS на ваш сайт WordPress. Поскольку добавление заголовка HSTS дает преимущества в производительности, рекомендуется включить HSTS для вашего сайта.

Что такое список предварительной загрузки HSTS?

Даже при использовании HSTS существует очевидная проблема с безопасностью. Самый первый HTTP-запрос, который вы отправляете с помощью браузера, небезопасен, что повторяет проблему, которую мы наблюдали ранее с Citibank.

Кроме того, заголовок ответа HSTS может быть отправлен только через HTTPS, поэтому первоначальный небезопасный запрос не может быть даже возвращен.

Для решения этой проблемы HSTS поддерживает атрибут предварительной загрузки в заголовке ответа. Идея состоит в том, чтобы иметь список сайтов, которые принудительно загружают HSTS в сам браузер, полностью обходя эту проблему безопасности.

Добавление вашего сайта в список предварительной загрузки HSTS браузера сообщит ему, что ваш сайт применяет строгую политику HSTS, даже если он посещает ваш сайт впервые. Затем браузер будет использовать ответ 307 Internal Redirect , чтобы перенаправить ваш сайт на безопасную схему https://, прежде чем запрашивать что-либо еще.

Обратите внимание, что в отличие от 307 Temporary Redirect , ответ 307 Internal Redirect является «фальшивым заголовком», установленным самим браузером. Он не исходит от сервера, веб-хостинга (например, Kinsta) или CMS (например, WordPress).

Добавление сайта в список предварительной загрузки HSTS имеет много преимуществ:

1. Веб-сервер никогда не видит незащищенные HTTP-запросы. Это снижает нагрузку на сервер и делает сайт более безопасным.
2. Браузер берет на себя перенаправление с HTTP на HTTPS, делая сайт более быстрым и безопасным.

Требования к списку предварительной загрузки HSTS

Если вы хотите добавить свой сайт в список предварительной загрузки HSTS браузера, необходимо отметить следующие условия:

• Для вашего домена должен быть установлен действующий сертификат SSL/TLS.
• Обеспечьте строгое соблюдение HTTPS, перенаправив весь HTTP-трафик на HTTPS.
• Все субдомены должны обслуживаться через HTTPS, особенно субдомен www , если существует запись DNS для этого субдомена.
• Ваш базовый домен должен включать заголовок HSTS со следующими атрибутами:
  • Атрибут max-age должен быть установлен как минимум на 31536000 секунд (1 год).
  • includeSubdomains и директивы preload должны быть указаны.
  • Если вы обслуживаете дополнительное перенаправление, оно должно включать заголовок HSTS, а не страницу, на которую оно перенаправляется.

Важно

Удаление вашего домена из списка предварительной загрузки HSTS может быть сложным и трудоемким процессом (до 12 недель и более). Включите HSTS только в том случае, если вы полностью привержены использованию HTTPS на своем сайте. Вы можете удалить свой сайт из списка предварительной загрузки HSTS, отправив форму на hstspreload.org.

Добавление вашего сайта в список предварительной загрузки HSTS

Существует два способа добавить ваш сайт в список предварительной загрузки HSTS.

1. Отправив свой сайт в каталог списка предварительной загрузки HSTS. Например, главный список hstspreload.org поддерживается проектом с открытым исходным кодом Chromium и используется большинством основных браузеров (Firefox, Chrome, Safari, IE 11 и Edge).
2. Добавив на свой сайт следующее поле заголовка:

Строгая транспортная безопасность: max-age=63072000; включать поддомены; предварительная загрузка

При использовании второго метода первое посещение вашего сайта браузером не будет полностью безопасным. Однако последующие посещения будут полностью безопасными.

Вы можете использовать бесплатный онлайн-инструмент, такой как Security Headers, чтобы проверить, использует ли ваш сайт HSTS. Если вас беспокоит поддержка браузерами HSTS, вы можете быть уверены, зная, что HSTS поддерживается почти всеми используемыми сегодня браузерами.

HTTP 307 Redirects and SEO

Поскольку ответ 307 Temporary Redirect показывает, что ресурс временно переместился на новый URL-адрес, поисковые системы не обновляют свой индекс, чтобы включить этот новый URL-адрес. «Ссылочный сок» из исходного URL-адреса не передается новому URL-адресу.

Это отличается от переадресации 301 Moved Permanently, когда поисковые системы обновляют свой индекс, чтобы включить новый URL-адрес и передать «ссылочный сок» с исходного URL-адреса на новый URL-адрес.

При ответе 307 Internal Redirect все происходит на уровне браузера. Следовательно, это не должно иметь прямого влияния на SEO вашего сайта. Однако добавление вашего сайта в список предварительной загрузки HSTS ускоряет его загрузку и делает его более безопасным, что может помочь ему занять более высокое место в результатах поиска.

Будьте осторожны, чтобы случайно не перенаправить пользователей и ботов в бесконечный цикл перенаправления, что приведет к ошибке «слишком много перенаправлений».

Резюме

Перенаправление URL-адресов позволяет назначить веб-странице более одного URL-адреса. Лучший способ обработки перенаправления URL-адресов — на уровне сервера с ответами кода состояния HTTP 3xx redirect . Если ваш сайт закрыт на техническое обслуживание или недоступен по другим причинам, вы можете временно перенаправить его на другой URL-адрес с ответом 307 Temporary Redirect .

При этом любое перенаправление увеличивает время загрузки страницы. Следовательно, используйте перенаправления разумно, всегда помня об опыте конечного пользователя.

Получите все свои приложения, базы данных и сайты WordPress онлайн и под одной крышей. Наша многофункциональная высокопроизводительная облачная платформа включает в себя:

• Простая настройка и управление на панели управления MyKinsta
• Экспертная поддержка 24/7
• Лучшее оборудование и сеть Google Cloud Platform на базе Kubernetes для максимальной масштабируемости
• Интеграция Cloudflare корпоративного уровня для скорости и безопасности
• Глобальный охват аудитории благодаря 35 центрам обработки данных и 275 точкам присутствия по всему миру

Начните с бесплатной пробной версии нашего хостинга приложений или хостинга базы данных. Ознакомьтесь с нашими планами или поговорите с отделом продаж, чтобы найти наиболее подходящий вариант.

Что это такое и как это исправить Заголовок Location

Существует десятков возможных кодов состояния HTTP, используемых для представления сложных отношений между клиентом, веб-приложением, веб-сервером и множеством сторонних веб-сервисов, которые могут использоваться, чтобы определить причину конкретный код состояния ответа HTTP может быть трудным. Так как существует так много потенциальных кодов, каждый из которых представляет собой совершенно другое состояние или событие, может быть трудно провести различие между многими из них и определить точную причину таких ошибок, включая код 9. 0291 307 Код ответа Temporary Redirect .

В этой статье мы рассмотрим код 307 Temporary Redirect , рассмотрев несколько советов по устранению неполадок. Мы также рассмотрим несколько полезных и простых в реализации исправлений распространенных проблем, которые могут вызывать появление кодов 307 в вашем собственном веб-приложении. Давайте приступим к делу!

Проблема на стороне сервера

Учитываются все коды состояния ответа HTTP в категории 3xx сообщения перенаправления . Эти коды указывают пользовательскому агенту (то есть вашему веб-браузеру), что для выполнения запроса и доступа к нужному ресурсу требуется дополнительное действие. Категория кодов ответов 3xx заметно отличается от категории кодов 5xx , которая охватывает сообщения об ошибках сервера . Например, ошибка 502 Bad Gateway , которую мы рассматривали несколько месяцев назад, указывает на то, что сервер, выступающий в роли шлюза, получил неверный ответ от другой , вышестоящий сервер. Таким образом, в то время как код категории 5xx указывает на реальную проблему, возникшую на сервере, код категории 3xx , такой как 307 Temporary Redirect , редко указывает на реальную проблему — он просто возникает из-за поведения или конфигурации сервера, но не свидетельствует об ошибке или ошибке на сервере.

Код 307 Temporary Redirect может показаться знакомым читателям, прочитавшим нашу статью 302 Found: Что это такое и как это исправить. Как обсуждалось в этом посте, 9Код 0291 302 фактически был введен в стандарт HTTP/1.0, как указано в RFC1945. Вскоре после этого возникла проблема, поскольку многие популярные пользовательские агенты (например, браузеры) фактически игнорировали метод HTTP, который был отправлен вместе с запросом клиента. Например, даже если клиентский запрос был отправлен с использованием HTTP-метода POST , многие браузеры автоматически отправили бы второй запрос на временный URI , указанный в заголовке Location , но сделали бы это, используя метод GET Метод HTTP. Это часто меняет условия, при которых выдается запрос.

Чтобы решить эту проблему, стандарт HTTP/1.1 решил добавить код ответа 303 See Other , который мы рассмотрели в этой статье, и код 307 Temporary Redirect , который мы рассмотрим сегодня. Коды 303 и 307 указывают, что запрошенный ресурс был временно перемещен, но основное различие между ними заключается в том, что 0291 303 См. Другое указывает, что последующий запрос на новый временный URI должен выполняться с использованием метода HTTP GET , а код 307 указывает, что последующий запрос должен использовать тот же HTTP . метод исходного запроса (поэтому GET остается GET , а POST остается POST и т. д.). Это тонкое, но критическое различие в функциональности между ними, поэтому для веб-разработчиков/администраторов важно учитывать оба сценария.

Тем не менее, появление 307 Temporary Redirect обычно не требует большого вмешательства пользователя. Все современные браузеры автоматически обнаружат код ответа 307 Temporary Redirect и автоматически обработают действие перенаправления на новый URI . Сервер, отправляющий код 307 , также будет включать специальный заголовок Location как часть ответа, который он отправляет клиенту. Этот заголовок Location указывает на новые URI , где можно найти запрошенный ресурс. Например, если запрос метода HTTP POST отправляется клиентом как попытка входа в систему по URL-адресу https://airbrake.io , веб-сервер может быть настроен на перенаправление этого запроса POST на другой адрес. URI , например https://airbrake.io/login . В этом случае сервер может ответить кодом временного перенаправления 307 и указать местоположение : https://airbrake. io/login 9.0292 заголовок в ответе. Это информирует пользовательский агент (браузер), что данные запроса POST (информация для входа) были получены сервером, но ресурс был временно перемещен в заголовок Location URI из https://airbrake.io /логин .

Также важно отличать назначение и варианты использования кода ответа 307 Temporary Redirect от многих похожих кодов 3xx , таких как 301 Moved Permanently мы смотрели в прошлом месяце. В частности, код 307 Found информирует клиента о том, что переданный Location URI является только временным ресурсом и что все будущие запросы должны продолжать обращаться к первоначально запрошенному URI . С другой стороны, сообщение 301 Moved Permanently не является временным и указывает, что переданный Location URI следует использовать для будущих (идентичных) запросов.

Кроме того, поскольку 307 Временное перенаправление указывает на то, что что-то пошло не так на сервере вашего приложения, мы можем в значительной степени игнорировать клиентскую сторону вещей. Если вы пытаетесь диагностировать проблему со своим собственным приложением, вы можете немедленно игнорировать большую часть клиентского кода и компонентов, таких как HTML, каскадные таблицы стилей (CSS), клиентский JavaScript и т. д. Это не относится к и только к веб-сайтам. Многие приложения для смартфонов с современным пользовательским интерфейсом на самом деле работают на основе обычного веб-приложения; тот, который просто скрыт от пользователя. Если вы используете такое приложение и 307 Возникает временное перенаправление , проблема не будет связана с приложением, установленным на вашем телефоне или локальном тестовом устройстве. Вместо этого это будет что-то на стороне сервера, которое выполняет большую часть логики и обработки за кулисами, вне поля зрения локального интерфейса, представленного пользователю.

Если ваше приложение генерирует неожиданные коды ответа 307 Temporary Redirect , существует ряд шагов, которые можно предпринять для диагностики проблемы, поэтому ниже мы рассмотрим несколько возможных обходных путей.

Начните с полной резервной копии приложения

Как и в любом другом деле, лучше перестраховаться в начале, чем что-то напортачить и потом сожалеть об этом. Таким образом, крайне важно выполнить полное резервное копирование вашего приложения, базы данных и т. д., прежде чем пытаться внести какие-либо исправления или изменения в систему. Еще лучше, если у вас есть такая возможность, создайте полную копию приложения на вторичном промежуточном сервере , который не является «действующим» или иным образом не активен и не доступен для публики. Это даст вам чистую испытательную площадку, на которой вы сможете протестировать все потенциальные исправления для решения проблемы, не угрожая безопасности или неприкосновенности вашего работающего приложения.

Диагностика кода ответа 307 Temporary Redirect

Код ответа 307 Temporary Redirect указывает, что запрошенный ресурс может быть найден по новому URI , указанному в заголовке ответа Location , но только временно. Однако само появление этой ошибки может быть ошибочным, так как вполне возможно, что сервер неправильно настроен, что может привести к неправильному ответу 307 Temporary Redirect 9.0292 вместо стандартного и ожидаемого кода 200 OK для большинства успешных запросов. Таким образом, большая часть диагностики проблемы будет заключаться в процессе двойной проверки того, какие ресурсы/URL-адреса генерируют коды ответа 307 Temporary Redirect , и определения того, являются ли эти коды подходящими или нет.

Если ваше приложение отвечает кодами 307 Temporary Redirect , которые оно не должно выдавать, то это проблема, с которой могут столкнуться и многие другие посетители, резко снижающая способность вашего приложения обслуживать пользователей. Мы рассмотрим некоторые советы и рекомендации по устранению неполадок, которые помогут вам решить эту проблему. Если здесь ничего не работает, не забудьте попробовать поискать ответ в Google. Найдите конкретные термины, связанные с вашей проблемой, такие как название CMS вашего приложения или программное обеспечение веб-сервера, а также 307 Временное перенаправление . Скорее всего, вы найдете других, кто столкнулся с этой проблемой и (надеюсь) нашел решение.

Устранение неполадок на стороне сервера

Вот несколько дополнительных советов, которые помогут вам устранить причину, по которой 307 Temporary Redirect появляется на стороне сервера:

Подтвердите конфигурацию вашего сервера

Ваше приложение скорее всего работает на сервере, который использует одно из двух самых популярных программ для веб-серверов, Apache или nginx . На момент публикации оба этих веб-сервера составляют более 84% программного обеспечения веб-серверов в мире! Таким образом, одним из первых шагов, которые вы можете предпринять, чтобы определить, что может вызывать эти коды ответов 307 Temporary Redirect , является проверка файлов конфигурации программного обеспечения вашего веб-сервера на наличие непреднамеренных инструкций по перенаправлению.

Чтобы определить, какой веб-сервер использует ваше приложение, вам нужно найти файл ключа. Если ваш веб-сервер Apache, ищите .htaccess в корневом каталоге файловой системы вашего сайта. Например, если ваше приложение находится на общем хосте, у вас, скорее всего, будет имя пользователя, связанное с учетной записью хостинга. В таком случае корневой каталог приложения обычно находится по пути /home//public_html/ , поэтому файл .htaccess будет находиться по адресу /home//public_html/.htaccess. .

Если вы нашли файл .htaccess , откройте его в текстовом редакторе и найдите строки, в которых используется 9Директивы 0291 RewriteXXX , которые являются частью модуля mod_rewrite в Apache. Подробное описание того, как работают эти правила, выходит далеко за рамки этой статьи, однако основная концепция заключается в том, что директива RewriteCond определяет текстовый шаблон, который будет сопоставляться с введенными URL-адресами. Если посетитель сайта запрашивает соответствующий URL-адрес, для фактического перенаправления запроса на соответствующий URL-адрес используется директива RewriteRule , следующая за одной или несколькими директивами RewriteCond . 9(.*)$ https://airbrake.io/login$1 [R=307]


Обратите внимание на дополнительный флаг в конце RewriteRule , в котором явно указано, что код ответа должен быть 307 , что указывает агентам пользователей, что запрос должен быть повторен на указанный URI , но с сохранением исходного метода HTTP (в данном случае POST ). Таким образом, если вы обнаружите какие-либо странные директивы RewriteCond или RewriteRule в файле .htaccess , которые кажутся ненужными, попробуйте временно закомментировать их (используя префикс символов # ) и перезапустить веб-сервер, чтобы посмотреть, решит ли это проблему.

С другой стороны, если ваш сервер работает на nginx , вам нужно искать совершенно другой файл конфигурации. По умолчанию этот файл называется nginx.conf и находится в одном из нескольких общих каталогов: /usr/local/nginx/conf , /etc/nginx или /usr/local/etc/nginx . После обнаружения откройте nginx.conf в текстовом редакторе и найдите директивы return или rewrite , которые используют флаг кода ответа 307 . Например, вот простая директива блока (то есть именованный набор директив), которая настраивает виртуальный сервер, создавая перенаправление с airbrake.io на airbrake.io/login как для POSt , так и для GET. запросов метода HTTP:

 сервер { 
 слушать 80; 
 слушать 443 ssl; 
 имя_сервера airbrake.io; 
 if ($request_method = GET) { 
 return 303 https://airbrake.io/login$request_uri; 
 } 
 if ($request_method = POST) { 
 return 307 https://airbrake.io/login$request_uri; 
 } 
 } 
 

Директивы Return в nginx аналогичны директивам RewriteCond и RewriteRule , найденным в Apache для поиска по тексту, поскольку они содержат более сложные шаблоны поиска на основе текста. В любом случае, просмотрите свои nginx.conf для любого ненормального return или переписать директивы , которые включают флаг 307 . Закомментируйте любые отклонения перед перезапуском сервера, чтобы увидеть, решена ли проблема.

Просматривайте журналы

Почти каждое веб-приложение хранит в той или иной форме журналы на стороне сервера. Журналы приложений обычно представляют собой историю того, что делало приложение, например, какие страницы были запрошены, к каким серверам оно подключалось, какие результаты базы данных оно предоставляло и так далее. Журналы сервера относятся к фактическому оборудованию, на котором запущено приложение, и часто содержат сведения о работоспособности и состоянии всех подключенных служб или даже только самого сервера. Google «журналы [PLATFORM_NAME]», если вы используете CMS, или «журналы [PROGRAMMING_LANGUAGE]» и «журналы [OPERATING_SYSTEM]», если вы используете пользовательское приложение, чтобы получить больше информации о поиске журналов, о которых идет речь.

Отладка кода вашего приложения

Если ничего не помогает, причиной проблемы может быть проблема в каком-то пользовательском коде вашего приложения. Попробуйте диагностировать, откуда может возникнуть проблема, путем ручной отладки вашего приложения, а также анализа журналов приложений и сервера. В идеале сделайте копию всего приложения на локальную машину разработки и выполните пошаговый процесс отладки, который позволит вам воссоздать точный сценарий, в котором 307 Произошло временное перенаправление и просмотрите код приложения в тот момент, когда что-то пойдет не так.

Независимо от причины, появление 307 Temporary Redirect в вашем собственном веб-приложении является убедительным признаком того, что вам может понадобиться инструмент управления ошибками, который поможет вам автоматически обнаруживать такие ошибки в будущем. Лучшие из этих инструментов могут даже предупредить вас и вашу команду сразу же при возникновении ошибки.