如果你的应用程序在一个可信的代理(例如AWS ELB或正确配置的nginx)后面，这段代码应该工作:

app.enable('trust proxy');
app.use(function(req, res, next) {
    if (req.secure){
        return next();
    }
    res.redirect("https://" + req.headers.host + req.url);
});

注:

这假设您在80和443上托管站点，如果不是，则需要在重定向时更改端口 这还假定您正在终止代理上的SSL。如果你使用SSL端到端，请使用上面@basarat的答案。端到端SSL是更好的解决方案。 app.enable('trust proxy')允许express检查X-Forwarded-Proto报头

var express = require('express');
var app = express();

app.get('*',function (req, res) {
    res.redirect('https://<domain>' + req.url);
});

app.listen(80);

这就是我们所使用的，而且效果非常好!

从0.4.12开始，我们还没有使用Node的HTTP/HTTPS服务器在同一个端口上监听HTTP和HTTPS的真正干净的方法。

有些人通过让Node的HTTPS服务器(这也适用于Express.js)侦听443(或其他端口)，并让一个小型http服务器绑定到80并将用户重定向到安全端口来解决这个问题。

如果你必须能够在一个端口上处理这两个协议，那么你需要把nginx, lighttpd, apache，或其他一些web服务器放在那个端口上，并充当Node的反向代理。

这个想法是检查传入的请求是否使用https，如果是，就不要再次重定向到https，而是像往常一样继续。否则，如果它是http，则通过附加https重定向它。

app.use (function (req, res, next) {
  if (req.secure) {
          next();
  } else {
          res.redirect('https://' + req.headers.host + req.url);
  }
});

这里的大多数答案都建议使用req.headers.host头文件。

Host报头是HTTP 1.1所要求的，但它实际上是可选的，因为报头可能不是由HTTP客户端实际发送的，node/express将接受这个请求。

你可能会问:哪个HTTP客户端(例如:浏览器)可以发送一个缺少报头的请求?HTTP协议非常简单。您可以用几行代码编写一个HTTP请求，以不发送主机标头，如果每次接收到格式错误的请求时都抛出一个异常，根据处理此类异常的方式，这可能会导致服务器宕机。

所以总是验证所有输入。这不是妄想症，我在我的服务中收到过缺少主机头的请求。

另外，永远不要把url当作字符串。使用node url模块修改字符串的特定部分。将url视为字符串可以通过许多许多方式加以利用。不要这样做。

如果你的应用程序在一个可信的代理(例如AWS ELB或正确配置的nginx)后面，这段代码应该工作:

app.enable('trust proxy');
app.use(function(req, res, next) {
    if (req.secure){
        return next();
    }
    res.redirect("https://" + req.headers.host + req.url);
});

注:

这假设您在80和443上托管站点，如果不是，则需要在重定向时更改端口 这还假定您正在终止代理上的SSL。如果你使用SSL端到端，请使用上面@basarat的答案。端到端SSL是更好的解决方案。 app.enable('trust proxy')允许express检查X-Forwarded-Proto报头