Manual:$wgForceHTTPS/nl

From Linux Web Expert

<translate> Server URLs and file paths</translate>: $wgForceHTTPS
Verwijs onbeveiligde HTTP-verzoeken door naar HTTPS.
<translate> Introduced in version:</translate>1.34.3 (Gerrit change 608504; git #c75eef91)
<translate> Removed in version:</translate><translate> still in use</translate>
<translate> Allowed values:</translate>(boolean)
<translate> Default value:</translate>false (gerrit:608504, gerrit:612497, gerrit:615840)

Details

Als deze instelling op true gezet wordt wordt wanneer een onveilig HTTP-verzoek wordt ontvangen deze altijd doorverwezen naar HTTPS. Dit overschrijft en schakelt de preferhttps gebruikersvoorkeur uit, en het overschrijft $wgSecureLogin en de CanIPUseHTTPS hook.

$wgServer kan zowel https als protocol-relatief zijn. Als $wgServer begint met "http://", wordt er een foutmelding weergeven

Als een reverse proxy of CDN wordt gebruikt om verzoeken van HTTPS door te sturen naar HTTP, moet de request header "X-Forwarded-Proto: https" worden verstuurd om de redirect te onderdrukken.

Naast het instellen van deze instelling op true zou voor een optimale beveiliging de webserver ook moeten worden geconfigureerd om HTTP Strict Transport Security (HSTS) response headers te versturen.

Als $wgForceHTTPS de waarde false heeft, is de voorkeur voor het volgen van HTTP/HTTPS per gebruiker, met een combinatie van:

  • de prefershttps gebruikersvoorkeur
  • de cookie forceHTTPS en de metadata van de sessie (beschikbaar via Session::shouldForceHTTPS())
  • de PHP-methode Session::setForceHTTPS()


Beschikbaarheid

Deze variabele werd toegevoegd in MediaWiki 1.35.0 (gerrit:608504). Het werd gebackport naar 1.34 als onderdeel van de MediaWiki 1.34.3 release (gerrit:612497).

Zie ook