嘿，我刚好处理过GAE灵活环境下的这个问题——你遇到的情况其实很典型：用户输入域名时默认走HTTP协议，浏览器就会提示“不安全”，但手动加HTTPS就正常。要实现强制跳转，得针对你的React应用和Node.js API分别配置，毕竟是两个独立部署的服务，下面具体说：

先划个重点：GAE灵活环境不像标准环境有一键生效的secure: always配置项，得通过部署配置或者应用代码逻辑来实现自动重定向，两种方式都能解决问题，看你更倾向哪种。

1. 针对React静态应用 #

如果你的React是构建成静态文件部署在GAE灵活环境的（比如用Node.js runtime托管），直接修改app.yaml就能搞定：

runtime: nodejs18 # 换成你实际用的Node.js版本
env: flex

handlers:
  - url: /.*
    script: auto
    secure: always # 开启强制HTTPS
    redirect_http_response_code: 301 # 用301永久重定向，对SEO友好，测试阶段也可以用302临时重定向

要是你是直接上传build后的静态资源，也可以给静态文件路径单独加规则：

handlers:
  - url: /static
    static_dir: build/static
    secure: always
    redirect_http_response_code: 301
  - url: /.*
    static_files: build/index.html
    upload: build/index.html
    secure: always
    redirect_http_response_code: 301

修改完后重新部署：gcloud app deploy就行。

2. 针对Node.js API应用 #

API服务建议在代码层面加重定向逻辑，更灵活，还能配合HSTS增强安全性，这里以Express框架为例：

方法一：手动写重定向中间件 #

在你的API入口文件（比如server.js）里加这段代码：

const express = require('express');
const app = express();

// 强制HTTPS跳转的核心逻辑
app.use((req, res, next) => {
  // 注意：GAE负载均衡会把原始协议放在X-Forwarded-Proto头里，不能直接判断req.protocol
  if (req.headers['x-forwarded-proto'] !== 'https') {
    // 301永久重定向到HTTPS版本
    return res.redirect(301, `https://${req.headers.host}${req.url}`);
  }
  next();
});

// 后面是你的API路由和其他业务逻辑
app.get('/api/hello', (req, res) => {
  res.json({ message: 'Secure API response!' });
});

const PORT = process.env.PORT || 8080;
app.listen(PORT, () => {
  console.log(`API running on port ${PORT}`);
});

方法二：用现成的npm包简化操作 #

不想自己写逻辑的话，可以用helmet包，它不仅能做重定向，还能配置HSTS（让浏览器记住这个域名只能用HTTPS，下次直接跳过HTTP请求）：

const express = require('express');
const helmet = require('helmet');
const app = express();

// 配置HSTS，强制浏览器长期使用HTTPS
app.use(helmet.hsts({
  maxAge: 31536000, // 1年，单位秒
  includeSubDomains: true, // 子域名也适用
  preload: true // 加入浏览器预加载列表，更彻底
}));

// 再加一层重定向兜底
app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(301, `https://${req.headers.host}${req.url}`);
  }
  next();
});

// 你的API路由...

3. 额外要检查的点 #

• 确认你的域名映射的SSL证书已经完全生效（你已经验证过合规，这步应该没问题）；
• 如果你的域名前面套了CDN（比如Cloudflare），记得在CDN后台也开启“始终使用HTTPS”的选项，避免CDN到GAE之间的请求出问题；
• 别把灵活环境的app.yaml和标准环境的配置搞混，灵活环境必须明确写env: flex。

验证是否生效 #

部署完后，你可以用这两种方式测试：

1. 直接在地址栏输入http://mydomain.ai，看是否自动跳转到https://mydomain.ai；
2. 用curl命令看响应头：

curl -I http://mydomain.ai

如果返回HTTP/1.1 301 Moved Permanently，并且Location头指向HTTPS地址，就说明配置生效了。

内容的提问来源于stack exchange，提问作者Ryan Rebo