La redirection HTTP vers HTTPS avec PHP

Je suis en train de travailler sur un panier d'achat du site web et je voudrais rediriger l'utilisateur vers une page HTTPS lorsqu'il d'entrer ses informations de facturation et de maintenir la connexion HTTPS pour les pages suivantes, jusqu'à ce qu'il se déconnecte.

De quoi ai-je besoin d'installer sur le serveur (je suis en utilisant Apache) pour ce faire, et comment cela peut-il rediriger être fait à partir de PHP?

InformationsquelleAutor Psyche | 2011-02-24
  1. 213

    Essayer quelque chose comme cela (devrait fonctionner pour Apache et IIS):

    if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] === "off") {
    $location = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    header('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $location);
    exit;
}
    • Il ne fonctionne pas toujours. J'ai essayé de l'utiliser et il n'y a pas de "https" dans l'élément $_SERVER tableau en raison de laquelle il était en train de donner de l'erreur de "trop de redirections'. Aurait besoin d'utiliser une autre méthode.
    • J'ai modifier la question dans quelques minutes, peut-être que cela fonctionnera pour vous
    • J'ai eu à tester if( $_SERVER['HTTPS'] == "off") pour obtenir ce code. Je pense que c'est parce que je suis sur IIS, pas d'Apache comme l'OP.
    • Le pcpc, $_SERVER variables peuvent varier en fonction des serveurs.
    • Remarque: die() ou exit() peut être important de mettre après les redirections pour empêcher le reste de la page à partir de l'exécution (et éventuellement l'envoi de l'information supplémentaire pour le client) (c'est à dire à des pirates ou des navigateurs peuvent ne pas respecter l'en-tête).
    • En fonction de votre environnement de serveur/de l'installation, vous pouvez utiliser la variable $_SERVER['HTTP_X_FORWARDED_PROTO'] pour vérifier http/https
    • Je voudrais aussi vous suggère d'ajouter header("HTTP/1.1 301 Moved Permanently"); avant la header("Location: $redirect"); pour le rendre stable.
    • oui, c'est une bonne suggestion.
    • PHP empty($var) de la fonction combine !isset($var) et $var == ""
    • Est vulnérable à une attaque par injection? Que faire si $_SERVER['REQUEST_URI'] contient des caractères spéciaux, comme une nouvelle ligne?
    • Cela n'a pas fonctionné avec moi sur l'auto-signé certs sur localhost j'ai donc ajouté de l'état des ports if((empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == "off") && $_SERVER['SERVER_PORT'] != HTTPS_PORT) n'oubliez pas de définir le HTTPS_PORT à 443
    • Car je ne veux pas de redirection lors de l'élaboration localement, j'ai amélioré le if: if((empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == "off") && ($_SERVER['HTTP_HOST'] !== "localhost" && $_SERVER['HTTP_HOST'] !== "127.0.0.1"))

    InformationsquelleAutor
  2. 14

    C'est une bonne façon de le faire:

    <?php
if (!(isset($_SERVER['HTTPS']) && ($_SERVER['HTTPS'] == 'on' || 
   $_SERVER['HTTPS'] == 1) ||  
   isset($_SERVER['HTTP_X_FORWARDED_PROTO']) &&   
   $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https'))
{
   $redirect = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
   header('HTTP/1.1 301 Moved Permanently');
   header('Location: ' . $redirect);
   exit();
}
?>
    • fonctionne bien, l'une portant la mention que de la bonne volonté de retour à une redirection de trop nombreuses fois au moins dans Chrome
    • La condition !(isset($_SERVER['HTTPS']) && ($_SERVER['HTTPS'] == 'on' sera toujours faux, car si la dernière partie est vraie, la première sera fausse.
    • Je ne comprends pas ce que vous dites. Si la deuxième condition est vraie ($_SERVER['HTTPS'] == 'on'), alors la première condition devra être VRAI (bien sûr que le serveur variable est définie, car elle contient une valeur!)
    • Merci @OMA, il a été un support de confusion...
    InformationsquelleAutor user2317471
  3. 5

    Vous pouvez toujours utiliser 

    header('Location: https://www.domain.com/cart_save/');

    pour rediriger vers l'URL de sauvegarde.

    Mais je vous recommande de le faire par .htaccess et Apache règles de réécriture.

    • Je vous recommandons de toujours vérifier que $_SERVER['HTTPS'] avant de la rediriger.
    • $_SERVER['HTTPS'] n'est pas toujours le jeu, mais c'est une bonne idée de vérifier avant. C'est pourquoi je vous recommande de le faire avec un utile règle de réécriture Apache, qui ne redirige lorsqu'elle n'est pas en HTTPS.
    • Bien que Apache ne recommande pas l'utilisation d'un supplément .fichier htaccess (car il ralentit), mais à utiliser les règles de réécriture à l'intérieur de l' *.conf de Apache.
    InformationsquelleAutor powtac
  4. 5

    La redirection HTTP vers HTTPS avec PHP sur IIS

    J'ai eu de la difficulté à obtenir la redirection vers HTTPS pour travailler sur un serveur Windows
    qui exécute la version 6 de de microsoft Internet Information Services (IIS). Je suis de plus en plus
    l'habitude de travailler avec Apache sur un hôte Linux, donc je me suis tourné vers Internet pour
    aide et ce était la plus élevée au rang de Débordement de Pile question quand j'ai cherché
    pour “php redirection http vers https”. Cependant, la réponse choisie n'a pas fonctionné
    pour moi.

    Après quelques essais et erreurs, j'ai découvert qu'avec IIS, $_SERVER['HTTPS'] est
    mis à off pour les non-connexions TLS. Je pensais que le code suivant doit
    d'aider tous les autres utilisateurs IIS qui viennent à cette question via le moteur de recherche.

    <?php
if (! isset($_SERVER['HTTPS']) or $_SERVER['HTTPS'] == 'off' ) {
    $redirect_url = "https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    header("Location: $redirect_url");
    exit();
}
?>

    Modifier: à Partir d'un autre Un Débordement de pile répondre,
    une solution plus simple est de vérifier if($_SERVER["HTTPS"] != "on").

    • ok...mais l'op a dit qu'il était à l'aide d'apache
    • Juste assez. Étant donné que cette question n'est pas étiqueté comme apache, j'ai posté cette réponse pour le bénéfice des autres utilisateurs IIS (similaire à la situation que j'ai été dans l') qui peut venir à travers cette page via le moteur de recherche. Je souscris à l'opinion que les réponses sont pour le bénéfice de la communauté dans son ensemble et pas seulement l'OP.
    InformationsquelleAutor Anthony Geoghegan
  5. 0

    Sur mon AWS beanstalk serveur, je ne vois pas la variable $_SERVER['HTTPS'] variable. Je ne vois $_SERVER['HTTP_X_FORWARDED_PROTO'] qui peut être "http" ou "https" donc, si vous êtes d'hébergement sur AWS, utilisez ceci:

    if ($_SERVER['HTTP_HOST'] != 'localhost' and $_SERVER['HTTP_X_FORWARDED_PROTO'] != "https") {
    $location = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    header('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $location);
    exit;
}
    InformationsquelleAutor phoenix