Shynet项目中的HTTPS追踪脚本配置问题解析

问题背景

在Web分析工具Shynet的实际部署过程中，开发者可能会遇到一个典型的混合内容安全问题：当主站点使用HTTPS协议时，Shynet生成的追踪脚本却默认使用HTTP协议。这不仅会导致浏览器阻止非安全请求，还会影响后续的访问时长统计等POST请求功能。

问题现象分析

当满足以下条件时会出现该问题：

1. 主站点采用HTTPS协议部署
2. Shynet服务未正确配置HTTPS支持
3. 浏览器严格执行混合内容安全策略

具体表现为：

• 初始脚本加载可能成功（如果手动修改了脚本URL为HTTPS）
• 后续的POST请求仍使用HTTP协议
• 现代浏览器（如Chrome/Firefox）会阻止这些非安全请求
• 访问时长等关键指标无法正常统计

根本原因

问题的核心在于Shynet的SCRIPT_USE_HTTPS环境变量配置不当。这个变量控制着生成的追踪脚本使用何种协议，但需要注意：

1. Django框架要求该变量必须为字符串类型（'True'）
2. 直接使用布尔值（True）会导致配置失效
3. 默认情况下未明确配置时可能回退到HTTP

解决方案

Docker环境配置

对于使用Docker部署的情况，有两种配置方式：

1. docker-compose.yml配置：

environment:
  SCRIPT_USE_HTTPS: 'True'

2. docker run命令配置：

docker run -e SCRIPT_USE_HTTPS='True' ...

验证配置

配置完成后，需要检查：

1. 生成的追踪脚本URL是否已变为HTTPS
2. 浏览器开发者工具中所有相关请求是否都使用HTTPS
3. 确保没有混合内容警告

最佳实践建议

1. 协议自适应：理想情况下，追踪脚本应自动匹配主站协议
2. 环境变量管理：建议将所有布尔型环境变量显式设置为字符串
3. 部署检查清单：
   • 确认反向代理配置正确
   • 检查SSL证书有效性
   • 验证所有API端点都支持HTTPS

总结

Shynet作为一款开源的Web分析工具，其追踪功能的稳定性依赖于正确的HTTPS配置。通过正确设置SCRIPT_USE_HTTPS环境变量，开发者可以避免混合内容问题，确保数据收集的完整性和安全性。对于生产环境，建议始终使用HTTPS协议，并定期检查相关配置。