Jump to content

Handleiding:$wgForceHTTPS

From mediawiki.org
This page is a translated version of the page Manual:$wgForceHTTPS and the translation is 100% complete.
Server URL's en bestandspaden: $wgForceHTTPS
Verwijs onbeveiligde HTTP-verzoeken door naar HTTPS.
Geïntroduceerd in versie:1.34.3 (Gerrit change 608504; git #c75eef91)
Verwijderd in versie:nog steeds in gebruik
Toegelaten waardes:(boolean)
Standaardwaarde:false (gerrit:608504, gerrit:612497, gerrit:615840)

Details

Als deze instelling op true gezet wordt wordt wanneer een onveilig HTTP-verzoek wordt ontvangen deze altijd doorverwezen naar HTTPS. Dit overschrijft en schakelt de preferhttps gebruikersvoorkeur uit, en het overschrijft $wgSecureLogin en de CanIPUseHTTPS hook.

$wgServer kan zowel https als protocol-relatief zijn. Als $wgServer begint met "http://", wordt er een foutmelding weergeven

Als een reverse proxy of CDN wordt gebruikt om verzoeken van HTTPS door te sturen naar HTTP, moet de request header "X-Forwarded-Proto: https" worden verstuurd om de redirect te onderdrukken.

Naast het instellen van deze instelling op true zou voor een optimale beveiliging de webserver ook moeten worden geconfigureerd om HTTP Strict Transport Security (HSTS) response headers te versturen.

Als $wgForceHTTPS de waarde false heeft, is de voorkeur voor het volgen van HTTP/HTTPS per gebruiker, met een combinatie van:

  • de prefershttps gebruikersvoorkeur
  • de cookie forceHTTPS en de metadata van de sessie (beschikbaar via Session::shouldForceHTTPS())
  • de PHP-methode Session::setForceHTTPS()


Beschikbaarheid

Deze variabele werd toegevoegd in MediaWiki 1.35.0 (gerrit:608504). Het werd gebackport naar 1.34 als onderdeel van de MediaWiki 1.34.3 release (gerrit:612497).

Zie ook