Manual:$wgForceHTTPS/nl
| <translate> Server URLs and file paths</translate>: $wgForceHTTPS | |
|---|---|
| Verwijs onbeveiligde HTTP-verzoeken door naar HTTPS. |
|
| <translate> Introduced in version:</translate> | 1.34.3 (Gerrit change 608504; git #c75eef91) |
| <translate> Removed in version:</translate> | <translate> still in use</translate> |
| <translate> Allowed values:</translate> | (boolean) |
| <translate> Default value:</translate> | false (gerrit:608504, gerrit:612497, gerrit:615840) |
| <translate> Other settings:</translate> <translate> Alphabetical</translate> | <translate> By function</translate> | |
Details
Als deze instelling op true gezet wordt wordt wanneer een onveilig HTTP-verzoek wordt ontvangen deze altijd doorverwezen naar HTTPS. Dit overschrijft en schakelt de preferhttps gebruikersvoorkeur uit, en het overschrijft $wgSecureLogin en de CanIPUseHTTPS hook.
$wgServer kan zowel https als protocol-relatief zijn. Als $wgServer begint met "http://", wordt er een foutmelding weergeven
Als een reverse proxy of CDN wordt gebruikt om verzoeken van HTTPS door te sturen naar HTTP, moet de request header "X-Forwarded-Proto: https" worden verstuurd om de redirect te onderdrukken.
Naast het instellen van deze instelling op true zou voor een optimale beveiliging de webserver ook moeten worden geconfigureerd om HTTP Strict Transport Security (HSTS) response headers te versturen.
Als $wgForceHTTPS de waarde false heeft, is de voorkeur voor het volgen van HTTP/HTTPS per gebruiker, met een combinatie van:
- de
prefershttpsgebruikersvoorkeur - de cookie
forceHTTPSen de metadata van de sessie (beschikbaar viaSession::shouldForceHTTPS())- eventuele PHP-hooks die de metadata van de sessie wijzigen (Manual:Hooks/SessionMetadata)
- de PHP-methode
Session::setForceHTTPS()
Beschikbaarheid
Deze variabele werd toegevoegd in MediaWiki 1.35.0 (gerrit:608504). Het werd gebackport naar 1.34 als onderdeel van de MediaWiki 1.34.3 release (gerrit:612497).
