如何配置ThinkPHP实现全站HTTPS强制跳转及路由安全策略?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1031个文字,预计阅读时间需要5分钟。
全站强制HTTPS,无需依赖Nginx/Apache,独立配置。否则,Request::isSsl()在PHP层可能失真。
常见错误是直接读 $_SERVER['HTTPS'] —— 转发场景下(如 CDN、反向代理)这个值常为 off 或空,但实际已是 HTTPS。必须结合 X-Forwarded-Proto 头判断。
- 在
app/middleware.php中注册中间件:HttpsRedirect::class - 中间件内用
$request->header('X-Forwarded-Proto')优先判断, fallback 到$request->isSsl() - 只对非
GET和HEAD请求谨慎跳转(避免 POST 提交后丢失数据) - 跳转用
redirect()->to(...)->code(301),不要用header()手动发,否则绕过框架响应生命周期
为什么不能只在路由定义里加 https 规则
ThinkPHP 的路由 https 参数(如 Route::get(...)->https())只是声明“此路由仅接受 HTTPS 请求”,不触发跳转。访问 HTTP 地址时,它直接报错 404 或 400,而不是重定向 —— 用户看到的是白屏或错误页,不是预期的自动跳转。
本文共计1031个文字,预计阅读时间需要5分钟。
全站强制HTTPS,无需依赖Nginx/Apache,独立配置。否则,Request::isSsl()在PHP层可能失真。
常见错误是直接读 $_SERVER['HTTPS'] —— 转发场景下(如 CDN、反向代理)这个值常为 off 或空,但实际已是 HTTPS。必须结合 X-Forwarded-Proto 头判断。
- 在
app/middleware.php中注册中间件:HttpsRedirect::class - 中间件内用
$request->header('X-Forwarded-Proto')优先判断, fallback 到$request->isSsl() - 只对非
GET和HEAD请求谨慎跳转(避免 POST 提交后丢失数据) - 跳转用
redirect()->to(...)->code(301),不要用header()手动发,否则绕过框架响应生命周期
为什么不能只在路由定义里加 https 规则
ThinkPHP 的路由 https 参数(如 Route::get(...)->https())只是声明“此路由仅接受 HTTPS 请求”,不触发跳转。访问 HTTP 地址时,它直接报错 404 或 400,而不是重定向 —— 用户看到的是白屏或错误页,不是预期的自动跳转。