Code-SchnipselHTAccessForce HTTPS

HTTPS erzwingen

Avatar of Chris Coyier
Chris Coyier am 
RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Wenn Sie einen Proxy vor Ihrem Server haben, der TLS-Terminierung durchführt

RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Psst! Erstellen Sie ein DigitalOcean-Konto und erhalten Sie 200 $ kostenloses Guthaben für Cloud-basiertes Hosting und Services.

Kommentare

  1. Jan
    Permalink zu Kommentar#

    Bis jetzt habe ich diese Regel verwendet, um HTTPS zu erzwingen

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

    Gibt es Vor-/Nachteile?

    Antworten
  2. Marcel
    Permalink zu Kommentar#

    @Jan,

    Es ist sogar noch sicherer, diese Zeile hinzuzufügen, sie verhindert Downgrade-Angriffe. Weitere Informationen zu diesem Thema finden Sie auf Wikipedia

    http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

    Und ein Artikel von Mozilla
    https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security

    Antworten
  3. Jan
    Permalink zu Kommentar#

    Vielen Dank, Marcel!

    Aufgrund des POODLE-Angriffs deaktiviere ich jetzt auch SSL und TLS 1.0, also dachte ich, ich teile das mit.

    SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1

    via StackExchange

    Antworten
  4. Josh
    Permalink zu Kommentar#

    Gibt es eine Apache-Konfiguration, um bestimmte Dateitypen standardmäßig über HTTPS aufzurufen? Nämlich Bilder (jpg, png, gif), CSS und JS. Ich habe HTTPS aktiviert, aber alle relativen Pfade verweisen unsicher über HTTP auf diese Assets.

    Was ist der beste Weg, alle Asset-Pfade auf HTTPS umzuleiten, ohne dass ich https://path.to/asset.css hart codieren muss?

    Antworten

Antwort hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© .