http1.0协议中只有302码,没有303状态码;
http1.1,在默认情况下,很多服务端基础程序,为了兼容http1.0,在遇到本应响应303时,也给客户端响应了302。
碰到的问题:
场景: 在整个web系统使用https的情况下,在程序中使用了redirect,结果发现redirect之后的重定向请求变成了http,此时redirect的响应码为302.
问 题:由于整个应用嵌入的需求,在页面组合上使用了iframe,整个网站包括父页面和iframe的子应用的所有请求均使用的https协议,而在 iframe子应用的redirect请求之后出现了http请求,在ie和firefox等浏览器中,并没有问题,(因为它们把iframe子应用中的 http请求也照样上送到了服务器,接收到http请求时,服务端会强制客户端使用https重定向请求),此时,对我们的系统仍然不存在影响(只是多了 一次重定向请求,但是对用户看不到);
但是在chrome浏览器下,iframe的http请求就被拦截掉了,提示在安全的https环境下不允许使用http访问,造成页面就死在了重定向之前的页面,不能正确的重定向到目标页面去了。
问题看起来很纳闷,但是严格安全限制的浏览器下,问题也很明显。在当时的情况下,也只是看到了现象,至于原因和原理一点都不明白。于是根据现象找解决办 法,我们用的spring mvc,在*上面找到了类似的问题。通过设置viewResolver的redirectHttp10Compatible属性 为false,关闭了对http1.0协议的兼容支持,程序的redirect响应码则变为了303,之后的重定向请求则维持了一致的https协议。
所以,最终发现一个现象,在302和303的状态码下,整个https结构的web系统下,浏览器接收到此两种不同的响应码时,分别使用了http和https去重定向请求。查找网上的理解,
- 302=<"HTTP/1.1 302Found(or Moved Temporarily)",
- 303=<"HTTP/1.1 303See Other",
也看不出区别。所以,我的理解:302 响应码是http1.0的标准,在当时还没有支持https的相应协议出现,所以现在的浏览器为了兼容http1.0,在302状态码下,碰到了 https的重定向请求,也会以http去转发;而303是http1.1的标准,浏览器就维持了一致的https的重定向请求了。
针对的在springmvc中的问题描述:
项目部署在websphere中,整站在https下运行,当通过spring redirect 内部跳转时,链接地址有https开头转变为http开头,在这样情况下导致项目请求无法访问。
<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<!-- redirectHttp10Compatible:解决https环境下使用redirect重定向地址变为http的协议,无法访问服务的问题
设置为false,即关闭了对http1.0协议的兼容支持 -->
<property name="redirectHttp10Compatible" value="false"/>
<!-- view是用什么显示,这里是jsp,还可以用velocity之类的 -->
<property name="viewClass" value="org.springframework.web.servlet.view.JstlView" />
<property name="contentType" value="text/html;charset=UTF-8" />
<property name="prefix" value="/WEB-INF/view/" />
<property name="suffix" value=".jsp" />
</bean>