Laravel怎么配置HTTPS_Laravel安全协议启用教程【加密】

1次阅读

laravel 不处理 https 切换,需由 web 服务器或 cdn 强制重定向并正确配置 trustproxies、session_secure_cookie 等,否则存在安全风险。

Laravel怎么配置HTTPS_Laravel安全协议启用教程【加密】

直接说结论:Laravel 本身不处理 https 协议切换,它依赖 Web 服务器(nginx/apache)或反向代理(如 Cloudflare)完成加密和重定向;你配置的不是 Laravel,而是它的运行环境。

Web 服务器必须强制 HTTPS 重定向

很多人在 .env 里设 APP_URL=https://example.com 就以为完事了——这只会让 Laravel 生成的 URL 带 https,但用户仍能用 HTTP 访问,且 Cookie、Session 等可能被劫持。

真正起作用的是 Nginx 或 Apache 的配置。比如 Nginx 中必须有:

server {     listen 80;     server_name example.com;     return 301 https://$server_name$request_uri; }

Apache 则需启用 mod_rewrite 并在 .htaccess 或虚拟主机中写:

RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  • 不配这条规则,APP_URL 设成 https 毫无意义
  • 若用 CDN(如 Cloudflare),需确认其“Always Use HTTPS”已开启,且源站 Nginx/Apache 仍要配好,否则循环重定向
  • 本地开发时别硬套生产规则,APP_URL=http://localhost 是合理的

Laravel 的 TrustProxies 中间件必须正确配置

当请求经过反向代理(Nginx、Cloudflare、AWS ALB 等),原始协议头(X-Forwarded-Proto)会被添加,但 Laravel 默认不信任这些头——导致 url()secure_url()csrf Token 生成等全按 HTTP 处理。

必须打开并配置 AppHttpMiddlewareTrustProxies

  • $proxies 设为具体 IP 或 CIDR(如 ['127.0.0.1', '10.0.0.0/8']),不要用 *(Laravel 9+ 已禁用,且极不安全)
  • 确保 $headers 包含 IlluminateHttpRequest::HEADER_X_FORWARDED_PROTO(默认已含)
  • 若用 Cloudflare,需把它的 IP 段加入 $proxies,或改用 CloudflareTrustProxies

SESSION_SECURE_COOKIESESSION_HTTP_ONLY 必须为 true

这两个配置控制 Session Cookie 是否仅通过 HTTPS 传输、是否禁止 js 访问。它们在 .env 中对应:

SESSION_SECURE_COOKIE=true SESSION_HTTP_ONLY=true

但注意:

  • SESSION_SECURE_COOKIE=true 在 HTTP 环境下会导致 Cookie 不被发送,登录失败——所以只应在 HTTPS 环境启用
  • 如果没配好 TrustProxies,即使开了 SESSION_SECURE_COOKIE,Laravel 也识别不到 HTTPS,照样不设 Secure 标志
  • SESSION_SAME_SITE=lax 也建议加上,防 CSRF(尤其跨域提交表单时)

混合内容(Mixed Content)错误怎么查

浏览器控制台报 Mixed Content: The page at 'https://...' was loaded over HTTPS, but requested an insecure Resource 'http://...',说明页面里写了死 HTTP 链接。

常见来源:

  • 模板中硬编码 <img src="http://..." alt="Laravel怎么配置HTTPS_Laravel安全协议启用教程【加密】" ><script src="http://cdn.com/xxx.js"></script>
  • 数据库里存了 HTTP 链接(如文章封面图地址),输出时没做协议适配
  • 第三方 SDK 初始化代码写死了 http:// 地址(检查文档,通常支持 // 协议相对路径)

修复方法统一:用 // 替代 http://https://,例如 <script src="//cdn.com/xxx.js"></script>,浏览器会自动匹配当前协议。

复杂点在于——很多老项目用 asset() 加载静态资源,但若 APP_URL 错配或 TrustProxies 失效,asset() 仍会输出 HTTP。这时得靠 URL::forceScheme('https') 强制(仅限调试,上线前务必回归到环境配置)。

发表于:php框架
近一天内
# apache# cookie# csrf# http# https# js# laravel# nginx# Resource# session# Token# 中间件# 循环# 数据库
复制链接
如何在响应式页面中精确定位并叠加图像(保持坐标不变且自适应缩放)
Go 中结构体参数传递的最优实践:何时及如何使用指针高效修改结构体
Go 中 HMAC-SHA1 签名生成与 Java 一致的正确实现
css如何让弹性容器在小屏幕自适应_使用flex-grow和flex-shrink
text=ZqhQzanResources