Handleiding:$wgForceHTTPS
Server URL's en bestandspaden: $wgForceHTTPS | |
---|---|
Verwijs onbeveiligde HTTP-verzoeken door naar HTTPS. |
|
Geïntroduceerd in versie: | 1.34.3 (Gerrit change 608504; git #c75eef91) |
Verwijderd in versie: | nog steeds in gebruik |
Toegelaten waardes: | (boolean) |
Standaardwaarde: | false (gerrit:608504, gerrit:612497, gerrit:615840) |
Andere instellingen: Alfabetisch | Per functie |
Details
Als deze instelling op true gezet wordt wordt wanneer een onveilig HTTP-verzoek wordt ontvangen deze altijd doorverwezen naar HTTPS. Dit overschrijft en schakelt de preferhttps gebruikersvoorkeur uit, en het overschrijft $wgSecureLogin en de CanIPUseHTTPS hook.
$wgServer kan zowel https als protocol-relatief zijn. Als $wgServer begint met "http://", wordt er een foutmelding weergeven
Als een reverse proxy of CDN wordt gebruikt om verzoeken van HTTPS door te sturen naar HTTP, moet de request header "X-Forwarded-Proto: https
" worden verstuurd om de redirect te onderdrukken.
Naast het instellen van deze instelling op true
zou voor een optimale beveiliging de webserver ook moeten worden geconfigureerd om HTTP Strict Transport Security (HSTS) response headers te versturen.
Als $wgForceHTTPS
de waarde false
heeft, is de voorkeur voor het volgen van HTTP/HTTPS per gebruiker, met een combinatie van:
- de
prefershttps
gebruikersvoorkeur - de cookie
forceHTTPS
en de metadata van de sessie (beschikbaar viaSession::shouldForceHTTPS()
)- eventuele PHP-hooks die de metadata van de sessie wijzigen (Manual:Hooks/SessionMetadata )
- de PHP-methode
Session::setForceHTTPS()
Beschikbaarheid
Deze variabele werd toegevoegd in MediaWiki 1.35.0 (gerrit:608504). Het werd gebackport naar 1.34 als onderdeel van de MediaWiki 1.34.3 release (gerrit:612497).