非常类似于“Detecting https requests in php”:
希望https://example.com/pog.php转到http://example.com/pog.php,反之亦然。
问题:
apache_request_headers()和apache_response_headers()发回同样的内容是否有任何页面方式可以检测是通过SSL还是非SSL进行调用?
修改:$_SERVER["HTTPS"]不存在,无论是否开启,无论您是通过SSL还是非SSL查看网站。出于某种原因,托管已选择加密所有加密的HTTPS请求,但是在端口80下。因此,$_SERVER["HTTPS"]永远不会打开,不存在,只是对该服务器点没有有用的反馈。所以该参数始终为空。
(是的,这意味着它会在FF或Chrome中被标记为部分无效的SSL证书。但这部分并不重要。)
此外,通过检测URL可以获得的最多是达到斜杠的点。 PHP无法查看请求前面是https还是http。
答案 0 :(得分:23)
关键字 - 负载均衡器
问题可归结为负载均衡器正在处理SSL加密/解密,并且对网络服务器完全透明。
Request: Client -> 443or80 -> loadbalancer -> 80 -> php
Response: PHP -> 80 -> loadbalancer -> 443or80 -> Client
这里真正的问题是“您是否可以控制负载均衡器配置?”
如果你这样做,有几种方法可以处理它。将负载均衡器配置为具有HTTP和HTTPS的单独服务定义。然后将HTTP流量发送到Web服务器的端口80,并将HTTPS流量发送到Web服务器的端口81。 (端口81不被其他任何东西使用)。
在apache中,配置两个不同的虚拟主机:
<VirtualHost 1.2.3.4:80>
ServerName foo.com
SetEnv USING_HTTPS 0
...
</VirtualHost>
<VirtualHost 1.2.3.4:81>
ServerName foo.com
SetEnv USING_HTTPS 1
...
</VirtualHost>
然后,环境变量USING_HTTPS将是1 | 0,具体取决于选择它的虚拟主机。这将在PHP的$_SERVER数组中提供。那不是很酷吗?
如果您无权访问Load Balancer配置,那么事情就会变得有点棘手。没有办法明确知道您使用的是HTTP还是HTTPS,因为HTTP和HTTPS是协议。它们指定了如何连接以及发送信息的格式,但在任何一种情况下,您都使用HTTP 1.1来发出请求。实际请求中没有信息表明它是HTTP还是HTTPS。
但不要灰心。有几个想法。
PHP的setcookie()函数的第6个参数可以指示客户端仅通过HTTPS连接(http://www.php.net/setcookie)发送cookie。也许您可以使用此参数设置cookie,然后在后续请求中检查它?
另一种可能性是使用JavaScript根据协议更新每个页面上的链接(添加GET参数)。
(以上都不是防弹)
另一个实用选项是将SSL设置在其他域上,例如secure.foo.com。然后你可以使用上面的VirtualHost技巧。
我知道这不是最简单的问题,因为我在白天处理它(带有SSL模块的思科CSS负载均衡器后面的负载平衡网络集群)。
最后,您可以始终认为您的Web应用程序应在需要时切换到SSL模式,并相信用户不要将其移回(毕竟,这是他们的数据在线上(通常))。
希望它有所帮助。
答案 1 :(得分:4)
$ _ SERVER [“HTTPS”]都不存在,无论是否开启。出于某种原因,托管已选择加密所有加密的HTTPS请求,但是在端口80下。因此,$ _SERVER [“HTTPS”]永远不会打开,不存在,只是对该服务器点没有有用的反馈。所以该参数始终为空。
您必须确保提供商在您网站的VHOST条目中包含以下行:SSLOptions +StdEnvVars。该行告诉Apache在脚本环境中包含SSL变量(PHP)。