HTTPの代わりにHTTPSを使用してユーザーに自分のページへのアクセスを強制するにはどうすればよいですか？

HTTPSページ（PHP on Apache）として強制的にアクセスさせたいページが1つだけあります。ディレクトリ全体にHTTPSを必要とせずにこれを行うにはどうすればよいですか？または、HTTPページからHTTPSページにフォームを送信すると、HTTPではなくHTTPSでフォームが送信されますか？

これが私の例です：

http://www.example.com/some-page.php

次の方法でのみアクセスできるようにします。

https://www.example.com/some-page.php

確かに、このページへのすべてのリンクをHTTPSバージョンに向けることができますが、それによって、愚か者が故意にHTTPを介してアクセスするのを止めることはできません...

私が思ったのは、PHPファイルのヘッダーにリダイレクトを入れて、HTTPSバージョンにアクセスしていることを確認することです。

if($_SERVER["SCRIPT_URI"] == "http://www.example.com/some-page.php"){
  header('Location: https://www.example.com/some-page.php');
}

しかし、それは正しい方法ではありませんか？

私が以前にやった方法は基本的にあなたが書いたものに似ていますが、ハードコードされた値はありません：

if（$ _ SERVER ["HTTPS"]！= "オン"）
{
    header（ "場所：https：//"。$ _SERVER ["HTTP_HOST"]。$ _SERVER ["REQUEST_URI"]）;
    出口（）;
}

Apacheのディレクティブとmod_rewriteでそれを行うことができます：

<Location /buyCrap.php>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</Location>

必要に応じて、正規表現を使用して、時間の経過とともにLocationをよりスマートにすることができます。

クライアントに、HTTP Strict Transport Security（HSTS）ヘッダーを使用して常にHTTPSを要求するように強制する必要があります。

// Use HTTP Strict Transport Security to force client to use secure connections only
$use_sts = true;

// iis sets HTTPS to 'off' for non-SSL requests
if ($use_sts && isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
    header('Strict-Transport-Security: max-age=31536000');
} elseif ($use_sts) {
    header('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'], true, 301);
    // we are in cleartext at the moment, prevent further execution and output
    die();
}

HSTSは最新のほとんどのブラウザーでサポートされていますが、ユニバーサルではないことに注意してください。したがって、上記のロジックは、サポートに関係なく、ユーザーがHTTPで終了する場合は手動でユーザーをリダイレクトし、HSTSヘッダーを設定して、可能であればさらにクライアント要求がブラウザーによってリダイレクトされるようにします。

.htaccessファイルを作成して追加しました：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

シンプル！

// Force HTTPS for security
if($_SERVER["HTTPS"] != "on") {
    $pageURL = "Location: https://";
    if ($_SERVER["SERVER_PORT"] != "80") {
        $pageURL .= $_SERVER["SERVER_NAME"] . ":" . $_SERVER["SERVER_PORT"] . $_SERVER["REQUEST_URI"];
    } else {
        $pageURL .= $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"];
    }
    header($pageURL);
}

ロードバランサーの背後で実行するときに、このようなことをしなければなりませんでした。ハットチップhttps://stackoverflow.com/a/16076965/766172

function isSecure() {
    return (
        (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off')
     || $_SERVER['SERVER_PORT'] == 443
     || (
            (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
         || (!empty($_SERVER['HTTP_X_FORWARDED_SSL'])   && $_SERVER['HTTP_X_FORWARDED_SSL'] == 'on')
        )
    );
}

function requireHTTPS() {
    if (!isSecure()) {
        header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], TRUE, 301);
        exit;
    }
}

PHPの方法：

$is_https=false;
if (isset($_SERVER['HTTPS'])) $is_https=$_SERVER['HTTPS'];
if ($is_https !== "on")
{
    header("Location: https://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    exit(1);
}

Apache mod_rewriteの方法：

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

http://www.besthostratings.com/articles/force-ssl-htaccess.html

ユーザーがセキュリティで保護された接続でサイトを閲覧していることを確認する必要がある場合があります。ユーザーを常に安全な接続（https：//）にリダイレクトする簡単な方法は、次の行を含む.htaccessファイルを使用して実現できます。

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

.htaccessはWebサイトのメインフォルダに配置する必要があることに注意してください。

特定のフォルダにHTTPSを強制したい場合は、次のように使用できます。

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteCond %{REQUEST_URI} somefolder 
RewriteRule ^(.*)$ https://www.domain.com/somefolder/$1 [R,L]

.htaccessファイルは、HTTPSを強制する必要があるフォルダに配置する必要があります。

わかりました。今、これについてはたくさんありますが、「安全な」質問に答える人はいません。私にとって、安全でないものを使用することはばかげています。

餌として使わない限り。

$ _SERVERの伝播は、方法を知っている人の意向で変更できます。

また、Sazzad Tushar Khanとthebigjcが述べたように、httaccessを使用してこれを行うこともできます。これを含む多くの回答があります。

追加するだけです：

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://example.com/$1 [R,L]

.httaccessにあるものの最後まで。

それでも、これらの2つのツールでできるほど安全ではありません。

残りは簡単です。不足している属性がある場合...

if(empty($_SERVER["HTTPS"])){ // SOMETHING IS FISHY
}

if(strstr($_SERVER['HTTP_HOST'],"mywebsite.com") === FALSE){// Something is FISHY
}

また、httaccessファイルを更新し、以下を確認するとします。

if($_SERVER["HTTPS"] !== "on"){// Something is fishy
}

チェックできる変数はもっとたくさんあります。

HOST_URI （チェックする静的な属性がある場合）

HTTP_USER_AGENT （同じセッションの異なる値）

イムが言っていることはすべて、答えが組み合わせにあるとき、どちらか一方だけで解決しないことです。

もっとhttaccess情報を書き換えるためにdocs->参照http://httpd.apache.org/docs/2.0/misc/rewriteguide.html

ここではいくつかのスタックを- > フォースSSL / HTTPSの.htaccessとのmod_rewriteを使用
して
の完全なURLを取得します現在のページ（PHP）
。

使用する$_SERVER['HTTPS']ことがあれば教えてSSL、および適切な場所へのリダイレクトでない場合。

また、フォームを表示するページはHTTPS経由でフィードする必要はありません。最も必要なのはポストバックURLです。

編集：はい、以下で指摘するように、プロセス全体をHTTPSで実行するのが最善です。それははるかに安心です-私は投稿が最も重要な部分であることを指摘していました。また、Cookieが安全に設定されているため、SSL経由でのみ送信されるように注意する必要があります。mod_rewriteソリューションも非常に気の利いたものであり、自分のWebサイトで多くのアプリケーションを保護するために使用しました。

使用htaccess：

#if domain has www. and not https://
  RewriteCond %{HTTPS} =off [NC]
  RewriteCond %{HTTP_HOST} ^(?i:www+\.+[^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

#if domain has not www.
  RewriteCond %{HTTP_HOST} ^([^.]+\.+[^.]+)$
  RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=307]

同じページでHTTPとHTTPSを混在させないでください。HTTPを介して提供されるフォームページがある場合、データの送信について不安になります-送信がHTTPSとHTTPのどちらで行われるかを確認するには、ソースの表示を実行してそれを探します。

送信リンクとともにHTTPS経由でフォームを提供することは、利点にとってそれほど大きな変更ではありません。

Apacheまたは.htaccessファイルをサポートするLiteSpeedのようなものを使用している場合、次のことができます。.htaccessファイルがない場合は、ルートディレクトリ（通常はindex.phpがある場所）に新しい.htaccessファイルを作成する必要があります。次に、これらの行を.htaccessの最初の書き換えルールとして追加します。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

すべての書き換えルールに対して.htaccessで「RewriteEngine On」という命令を1回だけ必要とするので、すでにそれがある場合は、2行目と3行目をコピーします。

これがお役に立てば幸いです。

これを使用するだけでは十分ではありません。

if($_SERVER["HTTPS"] != "on")
{
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

httpコンテンツ（外部のhttp画像ソースなど）がある場合、ブラウザーは潜在的な脅威を検出します。コード内のすべてのrefとsrcがhttpsであることを確認してください

$ _SERVER [HTTPS]のステータスをチェックする多くの解決策を講じ てきましたが、オンまたはオフなどに設定または設定されないことがあり、スクリプトが内部ループリダイレクトを引き起こすため、信頼できないようです。

サーバーが$ _SERVER [SCRIPT_URI]をサポートしている場合、これが最も信頼できるソリューションです。

if (stripos(substr($_SERVER[SCRIPT_URI], 0, 5), "https") === false) {
    header("location:https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]");
    echo "<meta http-equiv='refresh' content='0; url=https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]'>";
    exit;
}

インストールによっては、サーバーが$ _SERVER [SCRIPT_URI]をサポートしていない場合がありますが、サポートしている場合は、このスクリプトを使用することをお勧めします。

ここで確認できます：なぜ一部のPHPインストールには$ _SERVER ['SCRIPT_URI']があり、他にはないのですか

IISを使用している場合は、この行をweb.configに追加すると役立ちます。

<httpProtocol>
    <customHeaders>
        <add name="Strict-Transport-Security" value="max-age=31536000"/>
    </customHeaders>
</httpProtocol>
<rewrite>
    <rules>
        <rule name="HTTP to HTTPS redirect" stopProcessing="true">
              <match url="(.*)" />
              <conditions>
                 <add input="{HTTPS}" pattern="off" ignoreCase="true" />
              </conditions>
              <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
         </rule>
    </rules>
</rewrite>

完全なサンプルファイル

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name="Strict-Transport-Security" value="max-age=31536000"/>
             </customHeaders>
        </httpProtocol>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                      <match url="(.*)" />
                      <conditions>
                         <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                      </conditions>
                      <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" />
                 </rule>
            </rules>
       </rewrite>
   </system.webServer>
</configuration>

あなたはセキュリティ上の理由からすべきではありません。特にここでクッキーが使われている場合は。これにより、Cookieベースのリプレイ攻撃に広く開放されます。

どちらの方法でも、Apache制御ルールを使用して調整する必要があります。

次に、HTTPSが有効になっているかどうかをテストし、必要に応じて必要に応じてリダイレクトできます。

FORM POST（取得なし）のみを使用して有料ページにリダイレクトし、POSTなしのページへのアクセスは他のページにリダイレクトする必要があります。（これは、ホットジャンプする人々を捕まえるでしょう。）

http://joseph.randomnetworks.com/archives/2004/07/22/redirect-to-ssl-using-apaches-htaccess/

開始するには良い場所ですが、これ以上提供しないことをお詫びします。ただし、SSLを使用してすべてを強制する必要があります。

それは過保護ですが、少なくともあなたは心配が少なくなります。

多分これはあなたを助けることができます、あなた、それは私が私のウェブサイトのためにした方法です、それは魅力のように機能します：

$protocol = $_SERVER["HTTP_CF_VISITOR"];

if (!strstr($protocol, 'https')){
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]);
    exit();
}

これを行うためにPHPを使用したい場合、この方法は私にとって本当にうまくいきました：

<?php

if(!isset($_SERVER["HTTPS"]) || $_SERVER["HTTPS"] != "on") {
    header("Location: https://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"], true, 301);
    //Prevent the rest of the script from executing.
    exit;
}
?>

$ _SERVERスーパーグローバル配列のHTTPS変数をチェックして、「on」に等しいかどうかを確認します。変数がonと等しくない場合。

私はこのスクリプトを使用しましたが、サイト全体でうまく機能します。

if(empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == "off"){
    $redirect = 'https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    enter code hereheader('HTTP/1.1 301 Moved Permanently');
    header('Location: ' . $redirect);
    exit();
}

<?php 
// Require https
if ($_SERVER['HTTPS'] != "on") {
    $url = "https://". $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
    header("Location: $url");
    exit;
}
?>

簡単です。