Apache APISIX中Chrome浏览器重定向后保留端口号问题的分析与解决

问题背景

在使用Apache APISIX网关服务时，开发人员发现了一个与浏览器重定向行为相关的特殊现象：当配置了http_to_https重定向插件后，Chrome浏览器在重定向后会保留非标准端口号(如9443)，而其他浏览器如Firefox、Brave等则能正确重定向到标准的443端口。

技术分析

问题现象细节

1. 浏览器差异性表现：

   • Chrome浏览器在HTTP到HTTPS重定向后，URL中会显示:9443端口
   • Firefox、Brave等其他浏览器能正确处理重定向，使用标准443端口
   • 问题在macOS客户端上所有浏览器都出现，而Windows/Linux客户端上部分浏览器表现正常

2. 配置环境：

   • APISIX版本：3.9.1/3.10.0
   • 使用redirect插件的http_to_https功能
   • 已明确配置plugin_attr中的https_port为443

根本原因

经过深入分析，发现问题根源在于：

1. 浏览器缓存机制：Chrome等基于Chromium的浏览器会缓存301重定向响应，包括端口信息
2. 安全策略影响：Chromium的dom.security.https_first_pbm配置会影响重定向行为
3. 客户端差异：不同操作系统和浏览器版本对HTTP重定向规范的解释存在细微差异

解决方案

临时解决方案

1. 清除浏览器缓存：这是最直接的解决方法，特别是清除重定向缓存

   # Chrome用户可通过以下方式清除缓存
   chrome://settings/clearBrowserData
   

2. 调整浏览器安全设置：对于可控的内部环境，可配置：

   dom.security.https_first_pbm = true
   

长期解决方案

1. APISIX配置优化：

   • 确保config.yaml中正确配置了插件属性：

     plugin_attr:
       redirect:
         https_port: 443
     

   • 检查路由规则中上游服务的端口配置一致性

2. 部署架构调整：

   • 考虑使用标准HTTPS端口(443)直接暴露服务
   • 避免在公网暴露非标准HTTPS端口

3. 缓存控制策略：

   • 在重定向响应中添加适当的缓存控制头
   • 考虑使用302临时重定向而非301永久重定向

最佳实践建议

1. 测试策略：

   • 在多浏览器、多设备环境下全面测试重定向行为
   • 特别注意清除缓存后的首次访问测试

2. 监控机制：

   • 实施端到端监控，捕获异常重定向行为
   • 记录重定向链的完整路径

3. 文档记录：

   • 明确记录预期的重定向行为
   • 为终端用户提供清除缓存的指导文档

技术深度解析

HTTP重定向机制(RFC 7231)允许服务器指示客户端访问另一个URI，但关于端口处理的部分存在一定模糊性。当Location头中不明确指定端口时，不同浏览器有不同的默认行为：

1. 规范解读：

   • 如果Location头只包含协议和主机名，客户端应使用该协议的默认端口
   • 但实际实现中，部分浏览器会保留原始请求的端口

2. APISIX实现细节：

   • redirect插件生成重定向响应时，应确保Location头格式规范
   • http_to_https逻辑需要正确处理端口映射关系

3. TLS终止考虑：

   • 在网关层终止TLS时，需要确保后端服务与网关的端口配置一致
   • 非标准端口可能导致中间件处理异常

总结

这个案例展示了在实际生产环境中，即使配置看似正确，客户端实现的差异性仍可能导致意外行为。通过这个问题，我们可以得到以下经验：

1. 浏览器缓存机制对重定向行为有深远影响
2. 跨浏览器测试是Web开发的重要环节
3. 基础设施配置需要考虑终端客户端的多样性
4. 清晰的文档和用户指导能显著降低运维成本

对于APISIX使用者来说，理解网关与客户端交互的细节，能够帮助快速定位和解决这类边界情况问题。