CakePHP(我见过的所有版本)都会检查$_SERVER['HTTPS']是否通过HTTPS而不是普通HTTP发出了请求.
我使用nginx作为负载均衡器,其后面是Apache应用服务器.由于SSL连接在负载均衡器处终止,因此$_SERVER['HTTPS']就CakePHP而言未设置.
我想找到一种在应用服务器上检测HTTPS的安全方法.
到目前为止,我已将其放入CakePHP配置中:
$request_headers = getallheaders();
if ( (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS']) || ( isset($request_headers['X-Forwarded-Proto']) && $request_headers['X-Forwarded-Proto'] == 'https' ) ) {
$ssl = true;
// overwrite environment vars (ugly) since CakePHP won't honour X-Forwarded-Proto
$_SERVER['HTTPS'] = 'on';
$_ENV['HTTPS'] = 'on';
} else {
$ssl = false;
}
然后在nginx配置中,我习惯proxy_set_header X-Forwarded-Proto https;将标志添加到负载均衡器和后端应用程序服务器之间的任何请求.
这非常合适,但是任何向应用服务器发出直接请求的人都可能会欺骗他们认为他们正在浏览SSL而不是.我不确定这是否存在安全隐患,但这似乎不是一个好主意.
这是安全隐患吗?什么是更好的解决方案?
由于使用X-Forwarded-Proto似乎是标准的东西,解决方案可能是提交到CakePHP核心的一个很好的补丁,所以我认为任何答案都可以合法地涉及编辑核心文件.