代码之家  ›  专栏  ›  技术社区  ›  Quentamia

如果调用者不使用HTTPS,如何防止访问PHP文件?

https web-services php
  •  6
  • Quentamia  · 技术社区  · 14 年前

    我已经编写了几个PHP web服务,通过URL传递参数。为了防止未经授权的访问,我将唯一密钥作为参数之一传入。我通过HTTPS调用PHP文件,我想知道是否有一种方法可以阻止脚本在不使用HTTPS的情况下运行。

    5 回复  |  直到 14 年前
        1
  •  8
  •   Bruno    14 年前

    有点离题,但如果您将PHP与Apache Httpd和 mod_ssl SSLRequireSSL 中的指令 .htaccess 或者在目录配置中。

        2
  •  3
  •   Paolo Bergantino    14 年前 
    if(empty($_SERVER['HTTPS'])) {
    // ....
    exit;
}
        3
  •  1
  •   NikiC    14 年前

    澄清一下:您希望客户端不会通过非加密连接调用包含秘密令牌的url,对吗?如果是这样,那么问题主要不在您身上,而是在客户端的浏览器上。如果客户端还没有使用安全连接,您可以将其重定向到安全连接,但即使您这样做了 到你的服务器,在他被重定向之前!

    Strict-Transport-Security 头,它将阻止随后的未加密访问(尽管很明显,在发送头之前,仍然可能发生未加密访问)

    Further reading at hacks.mozilla.org

        4
  •  0
  •   letronje    14 年前

    如果您使用的是Apache,那么可以使用mod\u rewrite将http请求重定向为https请求。 

    RewriteCond %{HTTPS} !=on
RewriteRule ^account(.*) https://%{SERVER_NAME}/account$1   [R=301,L]

    这将重定向 http://domain/account https://domain/account

        5
  •  0
  •   Tgr    14 年前

    :visited CSS伪类。总而言之,这是一个非常可怕的想法-您最好只使用SSL cookies。

    推荐文章
    Jaimin Modi  ·  从Flutter中的Head呼叫响应中获取特定Header值
    2 年前
    Daavee18  ·  节点。未设置“数据”侦听器时,js http模块未关闭连接
    2 年前
    Karthi Jayaprakasam  ·  具有客户端证书的SSL流
    3 年前
    Nicole Demera  ·  ASP。NET Core 6如何使用。设置https的pem链文件
    3 年前
    RAJU KOPPISETTI  ·  JFrog artifactory中的HTTPS配置
    3 年前
    Parapluie  ·  Php PayPal IPN返回无效
    7 年前
    cespon Tom  ·  Laravel强制www和HTTPS错误:重定向到索引。php
    7 年前
    HotDudeSmith  ·  我的域及其子文件夹能否连接到EC2?
    7 年前
    uptoyou  ·  HTTP会话安全性和会话ID
    7 年前
    Cathal  ·  在django开发服务器上使用LetsEncrypt/Certbot?
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号