Как заставить пользователей обращаться к моей странице по HTTPS вместо HTTP?

Question 1

У меня есть только одна страница, к которой я хочу принудительно обращаться как к странице HTTPS (PHP на Apache). Как мне сделать это, не требуя HTTPS для всего каталога? Или, если вы отправляете форму на страницу HTTPS со страницы HTTP, отправляет ли она ее по HTTPS вместо HTTP?

Вот мой пример:

http://www.example.com/some-page.php

Я хочу, чтобы к нему можно было получить доступ только через:

https://www.example.com/some-page.php

Конечно, я могу поместить все ссылки на эту страницу, указывающие на версию HTTPS, но это не останавливает какого-то дурака от намеренного доступа к ней через HTTP ...

Одна вещь, о которой я подумал, - это поместить перенаправление в заголовок файла PHP, чтобы убедиться, что они получают доступ к версии HTTPS:

if($_SERVER["SCRIPT_URI"] == "http://www.example.com/some-page.php"){
  header('Location: https://www.example.com/some-page.php');
}

Но это ведь не может быть правильным путем?

Question 2

То, как я делал это раньше, в основном похоже на то, что вы написали, но не имеет жестко запрограммированных значений:

if ($ _ SERVER ["HTTPS"]! = "on")
{
    заголовок ("Местоположение: https: //". $ _SERVER ["HTTP_HOST"]. $ _SERVER ["REQUEST_URI"]);
    Выход();
}

Question 3

Вы можете сделать это с помощью директивы и mod_rewrite на Apache:

<Location /buyCrap.php>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</Location>

Вы можете со временем сделать Location умнее, используя регулярные выражения, если хотите.

Question 4

Вы должны заставить клиента запрашивать HTTPS всегда с заголовками HTTP Strict Transport Security (HSTS):

// Use HTTP Strict Transport Security to force client to use secure connections only
$use_sts = true;

// iis sets HTTPS to 'off' for non-SSL requests
if ($use_sts && isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
    header('Strict-Transport-Security: max-age=31536000');
} elseif ($use_sts) {
    header('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'], true, 301);
    // we are in cleartext at the moment, prevent further execution and output
    die();
}

Обратите внимание, что HSTS поддерживается в большинстве современных браузеров, но не универсален. Таким образом, приведенная выше логика вручную перенаправляет пользователя независимо от поддержки, если они заканчиваются на HTTP, а затем устанавливает заголовок HSTS так, чтобы дальнейшие клиентские запросы по возможности перенаправлялись браузером.

Question 5

Я только что создал файл .htaccess и добавил:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Просто !

Question 6

// Force HTTPS for security
if($_SERVER["HTTPS"] != "on") {
    $pageURL = "Location: https://";
    if ($_SERVER["SERVER_PORT"] != "80") {
        $pageURL .= $_SERVER["SERVER_NAME"] . ":" . $_SERVER["SERVER_PORT"] . $_SERVER["REQUEST_URI"];
    } else {
        $pageURL .= $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"];
    }
    header($pageURL);
}

Question 7

Приходилось делать что-то подобное при работе за балансировщиком нагрузки. Наконечник шляпы https://stackoverflow.com/a/16076965/766172

function isSecure() {
    return (
        (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off')
     || $_SERVER['SERVER_PORT'] == 443
     || (
            (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
         || (!empty($_SERVER['HTTP_X_FORWARDED_SSL'])   && $_SERVER['HTTP_X_FORWARDED_SSL'] == 'on')
        )
    );
}

function requireHTTPS() {
    if (!isSecure()) {
        header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], TRUE, 301);
        exit;
    }
}

Question 8

Способ PHP:

$is_https=false;
if (isset($_SERVER['HTTPS'])) $is_https=$_SERVER['HTTPS'];
if ($is_https !== "on")
{
    header("Location: https://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    exit(1);
}

Способ Apache mod_rewrite:

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Question 9

http://www.besthostratings.com/articles/force-ssl-htaccess.html

Иногда вам может потребоваться убедиться, что пользователь просматривает ваш сайт через защищенное соединение. Простой способ всегда перенаправлять пользователя на безопасное соединение (https: //) можно реализовать с помощью файла .htaccess, содержащего следующие строки:

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Обратите внимание, что .htaccess должен находиться в основной папке сайта.

Если вы хотите принудительно использовать HTTPS для определенной папки, вы можете использовать:

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteCond %{REQUEST_URI} somefolder 
RewriteRule ^(.*)$ https://www.domain.com/somefolder/$1 [R,L]

Файл .htaccess нужно поместить в папку, в которой вам нужно принудительно включить HTTPS.

Question 10

Хорошо ... Сейчас об этом много всего, но никто не отвечает на вопрос "Безопасность". Для меня смешно использовать что-то небезопасное.

Если только вы не используете его как наживку.

Распространение $ _SERVER может быть изменено по желанию того, кто знает как.

Также, как заявили Sazzad Tushar Khan и thebigjc, вы также можете использовать httaccess для этого, и здесь есть много ответов, содержащих его.

Просто добавь:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://example.com/$1 [R,L]

до конца того, что у вас есть в вашем .httaccess, и все.

Тем не менее, с этими двумя инструментами мы не настолько защищены, насколько это возможно.

В остальном все просто. Если отсутствуют атрибуты, то есть ...

if(empty($_SERVER["HTTPS"])){ // SOMETHING IS FISHY
}

if(strstr($_SERVER['HTTP_HOST'],"mywebsite.com") === FALSE){// Something is FISHY
}

Также скажите, что вы обновили файл httaccess и проверяете:

if($_SERVER["HTTPS"] !== "on"){// Something is fishy
}

Вы можете проверить гораздо больше переменных, например ...

HOST_URI (Если есть статические атрибуты для проверки)

HTTP_USER_AGENT (Одинаковая сессия, разные значения)

Так что все, что я говорю, это не соглашайтесь на одно или другое, когда ответ заключается в комбинации.

Для получения дополнительной информации о перезаписи доступа https см. Docs-> http://httpd.apache.org/docs/2.0/misc/rewriteguide.html

Некоторые стеки здесь -> Принудительное использование SSL / https с использованием .htaccess и mod_rewrite
и
получение полного URL текущая страница (PHP),
чтобы назвать пару.

Question 11

Используйте, $_SERVER['HTTPS']чтобы определить, является ли это SSL , и перенаправить в нужное место, если нет.

И помните, что страницу, на которой отображается форма, не нужно загружать через HTTPS, это URL-адрес обратной отправки, который больше всего в этом нуждается.

Изменить : да, как указано ниже, лучше всего иметь весь процесс в HTTPS. Это намного обнадеживает - я указывал, что пост - самая важная часть. Кроме того, вам необходимо позаботиться о том, чтобы все файлы cookie были безопасными, поэтому они будут отправляться только через SSL. Решение mod_rewrite также очень изящное, я использовал его для защиты множества приложений на моем собственном веб-сайте.

Question 12

использование htaccess:

#if domain has www. and not https://
  RewriteCond %{HTTPS} =off [NC]
  RewriteCond %{HTTP_HOST} ^(?i:www+\.+[^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

#if domain has not www.
  RewriteCond %{HTTP_HOST} ^([^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

Question 13

Не смешивайте HTTP и HTTPS на одной странице. Если у вас есть страница формы, которая обслуживается через HTTP, я буду нервничать по поводу отправки данных - я не могу увидеть, идет ли отправка через HTTPS или HTTP, не выполняя просмотр источника и не ища его.

Обслуживание формы по HTTPS вместе со ссылкой для отправки - не такое уж серьезное изменение для преимущества.

Question 14

Если вы используете Apache или что-то вроде LiteSpeed, которое поддерживает файлы .htaccess, вы можете сделать следующее. Если у вас еще нет файла .htaccess, вам следует создать новый файл .htaccess в корневом каталоге (обычно там, где находится ваш index.php). Теперь добавьте эти строки в качестве первых правил перезаписи в свой .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Вам понадобится только один раз инструкция "RewriteEngine On" в вашем .htaccess для всех правил перезаписи, поэтому, если она у вас уже есть, просто скопируйте вторую и третью строку.

Надеюсь, это поможет.

Question 15

Недостаточно использовать это:

if($_SERVER["HTTPS"] != "on")
{
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

Если у вас есть какой-либо http-контент (например, внешний источник http-изображения), браузер обнаружит возможную угрозу. Поэтому убедитесь, что все ваши ref и src внутри вашего кода https

Question 16

Я прошел через множество решений с проверкой статуса $ _SERVER [HTTPS], но кажется, что это ненадежно, потому что иногда он не устанавливается или не включается, выключается и т. Д., Вызывая перенаправление скрипта во внутренний цикл.

Вот самое надежное решение, если ваш сервер поддерживает $ _SERVER [SCRIPT_URI]

if (stripos(substr($_SERVER[SCRIPT_URI], 0, 5), "https") === false) {
    header("location:https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]");
    echo "<meta http-equiv='refresh' content='0; url=https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]'>";
    exit;
}

Обратите внимание, что в зависимости от вашей установки ваш сервер может не поддерживать $ _SERVER [SCRIPT_URI], но если он поддерживает, то лучше использовать этот сценарий.

Вы можете проверить здесь: Почему в некоторых установках PHP есть $ _SERVER ['SCRIPT_URI'], а в других нет

Question 17

Для тех, кто использует IIS, добавление этой строки в web.config поможет:

<httpProtocol>
    <customHeaders>
        <add name="Strict-Transport-Security" value="max-age=31536000"/>
    </customHeaders>
</httpProtocol>
<rewrite>
    <rules>
        <rule name="HTTP to HTTPS redirect" stopProcessing="true">
              <match url="(.*)" />
              <conditions>
                 <add input="{HTTPS}" pattern="off" ignoreCase="true" />
              </conditions>
              <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
         </rule>
    </rules>
</rewrite>

Полный пример файла

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name="Strict-Transport-Security" value="max-age=31536000"/>
             </customHeaders>
        </httpProtocol>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                      <match url="(.*)" />
                      <conditions>
                         <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                      </conditions>
                      <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
                 </rule>
            </rules>
       </rewrite>
   </system.webServer>
</configuration>

Question 18

Если вы хотите использовать для этого PHP, то мне очень понравился этот способ:


<?php

if(!isset($_SERVER["HTTPS"]) || $_SERVER["HTTPS"] != "on") {
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"], true, 301);
    //Prevent the rest of the script from executing.
    exit;
}
?>

Он проверяет переменную HTTPS в суперглобальном массиве $ _SERVER, чтобы убедиться, что она равна «on». Если переменная не равна on.

Question 19

Не следует из соображений безопасности. Особенно, если здесь используются куки. Это оставляет вас широко открытыми для атак с использованием файлов cookie.

В любом случае вы должны использовать правила управления Apache для его настройки.

Затем вы можете проверить, включен ли HTTPS, и при необходимости перенаправить его.

Вы должны перенаправлять на страницу оплаты только с помощью FORM POST (без получения), а доступ к странице без POST должен быть направлен обратно на другие страницы. (Это заставит людей просто прыгать по горячим следам.)

http://joseph.randomnetworks.com/archives/2004/07/22/redirect-to-ssl-using-apaches-htaccess/

Это хорошее место для начала, извиняюсь за то, что не предоставил больше. Но уж надо все через SSL пихать.

Это чересчур защитно, но, по крайней мере, у вас меньше забот.

Question 20

может быть, это может помочь, ты, вот как я сделал для своего сайта, он работает как шарм:

$protocol = $_SERVER["HTTP_CF_VISITOR"];

if (!strstr($protocol, 'https')){
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

Question 21

Я использовал этот скрипт, и он хорошо работает через сайт.

if(empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == "off"){
    $redirect = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    enter code hereheader('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $redirect);
    exit();
}

Question 22

<?php 
// Require https
if ($_SERVER['HTTPS'] != "on") {
    $url = "https://". $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
    header("Location: $url");
    exit;
}
?>

Это просто.

Answer 1

У меня есть только одна страница, к которой я хочу принудительно обращаться как к странице HTTPS (PHP на Apache). Как мне сделать это, не требуя HTTPS для всего каталога? Или, если вы отправляете форму на страницу HTTPS со страницы HTTP, отправляет ли она ее по HTTPS вместо HTTP?

Вот мой пример:

http://www.example.com/some-page.php

Я хочу, чтобы к нему можно было получить доступ только через:

https://www.example.com/some-page.php

Конечно, я могу поместить все ссылки на эту страницу, указывающие на версию HTTPS, но это не останавливает какого-то дурака от намеренного доступа к ней через HTTP ...

Одна вещь, о которой я подумал, - это поместить перенаправление в заголовок файла PHP, чтобы убедиться, что они получают доступ к версии HTTPS:

if($_SERVER["SCRIPT_URI"] == "http://www.example.com/some-page.php"){
  header('Location: https://www.example.com/some-page.php');
}

Но это ведь не может быть правильным путем?

Answer 2

возможный дубликат

принудительного

Answer 3

3

Есть ли причина, по которой вам просто не требуется SSL для всех страниц?

The Tahaan

Answer 4

178

То, как я делал это раньше, в основном похоже на то, что вы написали, но не имеет жестко запрограммированных значений:

if ($ _ SERVER ["HTTPS"]! = "on")
{
    заголовок ("Местоположение: https: //". $ _SERVER ["HTTP_HOST"]. $ _SERVER ["REQUEST_URI"]);
    Выход();
}

Адам Розенфилд
источник

15

Вы забыли вызвать exit (), чтобы гарантировать завершение работы сценария после перенаправления. Я обычно заключаю это в функцию под названием requireSSL (). Я могу это назвать вверху любой страницы, которую я хочу зашифровать.

Джесси Вейгерт,

31

Измените if, (empty($_SERVER["HTTPS"]) || $_SERVER["HTTPS"] !== "on")чтобы исправить уведомления PHP.

dave1010

Разве $_SERVER[]переменные не изменяются / не уязвимы для вмешательства пользователей?

Ариан Фауртош

Источник @ArianFaurtosh?

Джон

3

@ArianFaurtosh, некоторые из них извлекаются из заголовков клиентов, например HTTP_X_FORWARDED, и ими можно управлять, но другие, например, HTTPSили SERVER_PORTустанавливаются непосредственно с веб-сервера и обычно должны быть безопасными.

Mahn

Answer 5

15

Вы забыли вызвать exit (), чтобы гарантировать завершение работы сценария после перенаправления. Я обычно заключаю это в функцию под названием requireSSL (). Я могу это назвать вверху любой страницы, которую я хочу зашифровать.

Джесси Вейгерт,

Answer 6

31

Измените if, (empty($_SERVER["HTTPS"]) || $_SERVER["HTTPS"] !== "on")чтобы исправить уведомления PHP.

dave1010

Answer 7

Разве $_SERVER[]переменные не изменяются / не уязвимы для вмешательства пользователей?

Ариан Фауртош

Answer 8

Источник @ArianFaurtosh?

Джон

Answer 9

3

@ArianFaurtosh, некоторые из них извлекаются из заголовков клиентов, например HTTP_X_FORWARDED, и ими можно управлять, но другие, например, HTTPSили SERVER_PORTустанавливаются непосредственно с веб-сервера и обычно должны быть безопасными.

Mahn

Answer 10

46

Вы можете сделать это с помощью директивы и mod_rewrite на Apache:

<Location /buyCrap.php>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</Location>

Вы можете со временем сделать Location умнее, используя регулярные выражения, если хотите.

thebigjc
источник

6

Куда бы вы это положили? .htaccess файл?

1

Разве REQUEST_URI не включает «строку запроса» (например,? Page = 1 & id = 41 и т. Д.)? Это то, что говорится в документации apache ... Итак, если я попытаюсь получить доступ к site.com/index.php?page=1&id=12, я буду перенаправлен на site.com/index.php

Рольф

2

Из документации apache: REQUEST_URI Компонент пути запрошенного URI, например "/index.html". Это, в частности, исключает строку запроса, которая доступна как собственная переменная с именем QUERY_STRING. Итак, вам нужно добавить QUERY_STRING после REQUEST_URI

Рольф

2

Вам также необходимо добавить флаг [R] после этого, чтобы сделать перенаправление

Рольф

Answer 11

6

Куда бы вы это положили? .htaccess файл?

Answer 12

1

Разве REQUEST_URI не включает «строку запроса» (например,? Page = 1 & id = 41 и т. Д.)? Это то, что говорится в документации apache ... Итак, если я попытаюсь получить доступ к site.com/index.php?page=1&id=12, я буду перенаправлен на site.com/index.php

Рольф

Answer 13

2

Из документации apache: REQUEST_URI Компонент пути запрошенного URI, например "/index.html". Это, в частности, исключает строку запроса, которая доступна как собственная переменная с именем QUERY_STRING. Итак, вам нужно добавить QUERY_STRING после REQUEST_URI

Рольф

Answer 14

2

Вам также необходимо добавить флаг [R] после этого, чтобы сделать перенаправление

Рольф

Answer 15

40

Вы должны заставить клиента запрашивать HTTPS всегда с заголовками HTTP Strict Transport Security (HSTS):

// Use HTTP Strict Transport Security to force client to use secure connections only
$use_sts = true;

// iis sets HTTPS to 'off' for non-SSL requests
if ($use_sts && isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
    header('Strict-Transport-Security: max-age=31536000');
} elseif ($use_sts) {
    header('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'], true, 301);
    // we are in cleartext at the moment, prevent further execution and output
    die();
}

Обратите внимание, что HSTS поддерживается в большинстве современных браузеров, но не универсален. Таким образом, приведенная выше логика вручную перенаправляет пользователя независимо от поддержки, если они заканчиваются на HTTP, а затем устанавливает заголовок HSTS так, чтобы дальнейшие клиентские запросы по возможности перенаправлялись браузером.

оборота Jacob Swartwood
источник

Я удивлен, что ни один из других ответов не включает этот заголовок, это довольно важно ... есть ли ловушка для объединения двух из них?

keisar

Нет ... вы все равно можете установить этот заголовок, если хотите всегда использовать HTTPS. Просто излишне устанавливать его до и после перенаправления. Я также изменил свой ответ выше, чтобы более точно объяснить совместимость.

Джейкоб Свартвуд

1

(Редактирование исходного комментария) Я не заметил особого требования «всего одна страница». HSTS будет применяться ко всем страницам; мой ответ технически неверен.

Джейкоб Свартвуд

4

К вашему сведению, в стандартном разделе 7.2 RFC 6797 говорится: «Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в HTTP-ответы, передаваемые по незащищенному транспорту». поэтому нет необходимости отправлять его, если запрос является обычным http, его следует игнорировать, если браузер соответствует стандарту.

Франк Форте

1

@mark, если существует MITM и на вашем веб-сайте нет этого заголовка, вы можете разрешить входящему в состав сеансу перейти на http, и люди будут вводить свои данные, и они, вероятно, не заметят, и перенаправление не поможет (человек в средний будет подключаться к сайту через https и представлять его как http). Использование этого заголовка приведет к принудительному использованию HTTPS на стороне клиента. Это особенно важно из-за недавней уязвимости безопасности WPA2 WiFi.

Рудигер

Answer 16

Я удивлен, что ни один из других ответов не включает этот заголовок, это довольно важно ... есть ли ловушка для объединения двух из них?

keisar

Answer 17

Нет ... вы все равно можете установить этот заголовок, если хотите всегда использовать HTTPS. Просто излишне устанавливать его до и после перенаправления. Я также изменил свой ответ выше, чтобы более точно объяснить совместимость.

Джейкоб Свартвуд

Answer 18

1

(Редактирование исходного комментария) Я не заметил особого требования «всего одна страница». HSTS будет применяться ко всем страницам; мой ответ технически неверен.

Джейкоб Свартвуд

Answer 19

4

К вашему сведению, в стандартном разделе 7.2 RFC 6797 говорится: «Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в HTTP-ответы, передаваемые по незащищенному транспорту». поэтому нет необходимости отправлять его, если запрос является обычным http, его следует игнорировать, если браузер соответствует стандарту.

Франк Форте

Answer 20

1

@mark, если существует MITM и на вашем веб-сайте нет этого заголовка, вы можете разрешить входящему в состав сеансу перейти на http, и люди будут вводить свои данные, и они, вероятно, не заметят, и перенаправление не поможет (человек в средний будет подключаться к сайту через https и представлять его как http). Использование этого заголовка приведет к принудительному использованию HTTPS на стороне клиента. Это особенно важно из-за недавней уязвимости безопасности WPA2 WiFi.

Рудигер

Answer 21

Я только что создал файл .htaccess и добавил:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Просто !

Answer 22

// Force HTTPS for security
if($_SERVER["HTTPS"] != "on") {
    $pageURL = "Location: https://";
    if ($_SERVER["SERVER_PORT"] != "80") {
        $pageURL .= $_SERVER["SERVER_NAME"] . ":" . $_SERVER["SERVER_PORT"] . $_SERVER["REQUEST_URI"];
    } else {
        $pageURL .= $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"];
    }
    header($pageURL);
}

Answer 23

Приходилось делать что-то подобное при работе за балансировщиком нагрузки. Наконечник шляпы https://stackoverflow.com/a/16076965/766172

function isSecure() {
    return (
        (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off')
     || $_SERVER['SERVER_PORT'] == 443
     || (
            (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
         || (!empty($_SERVER['HTTP_X_FORWARDED_SSL'])   && $_SERVER['HTTP_X_FORWARDED_SSL'] == 'on')
        )
    );
}

function requireHTTPS() {
    if (!isSecure()) {
        header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], TRUE, 301);
        exit;
    }
}

Answer 24

6

Способ PHP:

$is_https=false;
if (isset($_SERVER['HTTPS'])) $is_https=$_SERVER['HTTPS'];
if ($is_https !== "on")
{
    header("Location: https://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    exit(1);
}

Способ Apache mod_rewrite:

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Джей
источник

Я предпочитаю PHP, потому что есть экземпляры, в которых я хочу переопределить требование SSL. Например, локальный доступ к API и вещам вроде автоконфигурации Mozilla Thunderbird и т. Д.

Джей,

Метод PHP отлично работает для меня, очень рекомендуется.

Moxet

Answer 25

Я предпочитаю PHP, потому что есть экземпляры, в которых я хочу переопределить требование SSL. Например, локальный доступ к API и вещам вроде автоконфигурации Mozilla Thunderbird и т. Д.

Джей,

Answer 26

Метод PHP отлично работает для меня, очень рекомендуется.

Moxet

Answer 27

http://www.besthostratings.com/articles/force-ssl-htaccess.html

Иногда вам может потребоваться убедиться, что пользователь просматривает ваш сайт через защищенное соединение. Простой способ всегда перенаправлять пользователя на безопасное соединение (https: //) можно реализовать с помощью файла .htaccess, содержащего следующие строки:

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Обратите внимание, что .htaccess должен находиться в основной папке сайта.

Если вы хотите принудительно использовать HTTPS для определенной папки, вы можете использовать:

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteCond %{REQUEST_URI} somefolder 
RewriteRule ^(.*)$ https://www.domain.com/somefolder/$1 [R,L]

Файл .htaccess нужно поместить в папку, в которой вам нужно принудительно включить HTTPS.

Answer 28

Хорошо ... Сейчас об этом много всего, но никто не отвечает на вопрос "Безопасность". Для меня смешно использовать что-то небезопасное.

Если только вы не используете его как наживку.

Распространение $ _SERVER может быть изменено по желанию того, кто знает как.

Также, как заявили Sazzad Tushar Khan и thebigjc, вы также можете использовать httaccess для этого, и здесь есть много ответов, содержащих его.

Просто добавь:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://example.com/$1 [R,L]

до конца того, что у вас есть в вашем .httaccess, и все.

Тем не менее, с этими двумя инструментами мы не настолько защищены, насколько это возможно.

В остальном все просто. Если отсутствуют атрибуты, то есть ...

if(empty($_SERVER["HTTPS"])){ // SOMETHING IS FISHY
}

if(strstr($_SERVER['HTTP_HOST'],"mywebsite.com") === FALSE){// Something is FISHY
}

Также скажите, что вы обновили файл httaccess и проверяете:

if($_SERVER["HTTPS"] !== "on"){// Something is fishy
}

Вы можете проверить гораздо больше переменных, например ...

HOST_URI (Если есть статические атрибуты для проверки)

HTTP_USER_AGENT (Одинаковая сессия, разные значения)

Так что все, что я говорю, это не соглашайтесь на одно или другое, когда ответ заключается в комбинации.

Для получения дополнительной информации о перезаписи доступа https см. Docs-> http://httpd.apache.org/docs/2.0/misc/rewriteguide.html

Некоторые стеки здесь -> Принудительное использование SSL / https с использованием .htaccess и mod_rewrite
и
получение полного URL текущая страница (PHP),
чтобы назвать пару.

Answer 29

2

но теперь я получаю следующее сообщение об ошибке: ERR_TOO_MANY_REDIRECTS. Как это исправить?

Pathros

Answer 30

Используйте, $_SERVER['HTTPS']чтобы определить, является ли это SSL , и перенаправить в нужное место, если нет.

И помните, что страницу, на которой отображается форма, не нужно загружать через HTTPS, это URL-адрес обратной отправки, который больше всего в этом нуждается.

Изменить : да, как указано ниже, лучше всего иметь весь процесс в HTTPS. Это намного обнадеживает - я указывал, что пост - самая важная часть. Кроме того, вам необходимо позаботиться о том, чтобы все файлы cookie были безопасными, поэтому они будут отправляться только через SSL. Решение mod_rewrite также очень изящное, я использовал его для защиты множества приложений на моем собственном веб-сайте.

Answer 31

Это правда, что сама форма не обязательно должна быть https, хотя это хорошая идея для большинства людей, которые этого не знают. Если они собираются отправить форму и заметят, что значка замка нет, они могут ошибочно предположить, что форма небезопасна.

Грэм Перроу,

Answer 32

1

@Graeme: кроме того, никто не может быть уверен, что форма когда-либо будет отправлена через https. Вся форма (отображаемая через http) может быть подделкой, отправленной на неизвестный сайт или сайт с открытым текстом http. Https - это не только шифрование, но и проверка подлинности сервера.

Олаф Кок,

Answer 33

использование htaccess:

#if domain has www. and not https://
  RewriteCond %{HTTPS} =off [NC]
  RewriteCond %{HTTP_HOST} ^(?i:www+\.+[^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

#if domain has not www.
  RewriteCond %{HTTP_HOST} ^([^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

Answer 34

Не смешивайте HTTP и HTTPS на одной странице. Если у вас есть страница формы, которая обслуживается через HTTP, я буду нервничать по поводу отправки данных - я не могу увидеть, идет ли отправка через HTTPS или HTTP, не выполняя просмотр источника и не ища его.

Обслуживание формы по HTTPS вместе со ссылкой для отправки - не такое уж серьезное изменение для преимущества.

Answer 35

Если вы используете Apache или что-то вроде LiteSpeed, которое поддерживает файлы .htaccess, вы можете сделать следующее. Если у вас еще нет файла .htaccess, вам следует создать новый файл .htaccess в корневом каталоге (обычно там, где находится ваш index.php). Теперь добавьте эти строки в качестве первых правил перезаписи в свой .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Вам понадобится только один раз инструкция "RewriteEngine On" в вашем .htaccess для всех правил перезаписи, поэтому, если она у вас уже есть, просто скопируйте вторую и третью строку.

Надеюсь, это поможет.

Answer 36

Это то, что у меня сработало, и то, что я использую в своих собственных скриптах на платформе, подобной Zend 2 - я не понимаю, что такое отрицательное мнение.

Антонио

Answer 37

Может быть , вы получили downvoted , потому что ответ практически такой же , как этот от @MatHatrik , которая была размещена более чем на год раньше?

Уилт

Answer 38

Недостаточно использовать это:

if($_SERVER["HTTPS"] != "on")
{
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

Если у вас есть какой-либо http-контент (например, внешний источник http-изображения), браузер обнаружит возможную угрозу. Поэтому убедитесь, что все ваши ref и src внутри вашего кода https

Answer 39

Я прошел через множество решений с проверкой статуса $ _SERVER [HTTPS], но кажется, что это ненадежно, потому что иногда он не устанавливается или не включается, выключается и т. Д., Вызывая перенаправление скрипта во внутренний цикл.

Вот самое надежное решение, если ваш сервер поддерживает $ _SERVER [SCRIPT_URI]

if (stripos(substr($_SERVER[SCRIPT_URI], 0, 5), "https") === false) {
    header("location:https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]");
    echo "<meta http-equiv='refresh' content='0; url=https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]'>";
    exit;
}

Обратите внимание, что в зависимости от вашей установки ваш сервер может не поддерживать $ _SERVER [SCRIPT_URI], но если он поддерживает, то лучше использовать этот сценарий.

Вы можете проверить здесь: Почему в некоторых установках PHP есть $ _SERVER ['SCRIPT_URI'], а в других нет

Answer 40

Для тех, кто использует IIS, добавление этой строки в web.config поможет:

<httpProtocol>
    <customHeaders>
        <add name="Strict-Transport-Security" value="max-age=31536000"/>
    </customHeaders>
</httpProtocol>
<rewrite>
    <rules>
        <rule name="HTTP to HTTPS redirect" stopProcessing="true">
              <match url="(.*)" />
              <conditions>
                 <add input="{HTTPS}" pattern="off" ignoreCase="true" />
              </conditions>
              <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
         </rule>
    </rules>
</rewrite>

Полный пример файла

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name="Strict-Transport-Security" value="max-age=31536000"/>
             </customHeaders>
        </httpProtocol>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                      <match url="(.*)" />
                      <conditions>
                         <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                      </conditions>
                      <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
                 </rule>
            </rules>
       </rewrite>
   </system.webServer>
</configuration>

Answer 41

Вопрос конкретно касается Apache, а не IIS.

Квентин

Answer 42

1

А) это немаркированный apache. Apache указывается в кавычках. Б) это общий вопрос, который не имеет ничего общего с apache в целом. Это применимо к нескольким веб-серверам, поддерживающим php

Tschallacka

Answer 43

Если вы хотите использовать для этого PHP, то мне очень понравился этот способ:


<?php

if(!isset($_SERVER["HTTPS"]) || $_SERVER["HTTPS"] != "on") {
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"], true, 301);
    //Prevent the rest of the script from executing.
    exit;
}
?>

Он проверяет переменную HTTPS в суперглобальном массиве $ _SERVER, чтобы убедиться, что она равна «on». Если переменная не равна on.

Answer 44

Не следует из соображений безопасности. Особенно, если здесь используются куки. Это оставляет вас широко открытыми для атак с использованием файлов cookie.

В любом случае вы должны использовать правила управления Apache для его настройки.

Затем вы можете проверить, включен ли HTTPS, и при необходимости перенаправить его.

Вы должны перенаправлять на страницу оплаты только с помощью FORM POST (без получения), а доступ к странице без POST должен быть направлен обратно на другие страницы. (Это заставит людей просто прыгать по горячим следам.)

http://joseph.randomnetworks.com/archives/2004/07/22/redirect-to-ssl-using-apaches-htaccess/

Это хорошее место для начала, извиняюсь за то, что не предоставил больше. Но уж надо все через SSL пихать.

Это чересчур защитно, но, по крайней мере, у вас меньше забот.

Answer 45

может быть, это может помочь, ты, вот как я сделал для своего сайта, он работает как шарм:

$protocol = $_SERVER["HTTP_CF_VISITOR"];

if (!strstr($protocol, 'https')){
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

Answer 46

Я использовал этот скрипт, и он хорошо работает через сайт.

if(empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == "off"){
    $redirect = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    enter code hereheader('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $redirect);
    exit();
}

Answer 47

<?php 
// Require https
if ($_SERVER['HTTPS'] != "on") {
    $url = "https://". $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
    header("Location: $url");
    exit;
}
?>

Это просто.

Как заставить пользователей обращаться к моей странице по HTTPS вместо HTTP?

Ответы: