Manuel:$wgForceHTTPS
| URLs de serveur et chemins de fichiers: $wgForceHTTPS | |
|---|---|
| Redirige les requêtes HTTP non sécurisées vers HTTPS. |
|
| Introduit dans la version : | 1.34.3 (Gerrit change 608504; git #c75eef91) |
| Retiré dans la version : | Encore utilisé |
| Valeurs autorisées : | (booléen) |
| Valeur par défaut : | false (gerrit:608504, gerrit:612497, gerrit:615840) |
| Autres paramètres : Alphabétique | Par fonction | |
Détails
Si ce paramètre de configuration vaut true lors de la réception d'une demande HTTP non sécurisée, elle sera toujours redirigée vers HTTPS.
Ceci redéfinit et désactive la préférence utilisateur preferhttps, et redéfinit $wgSecureLogin .
$wgServer peut être soit https ou relatif au protocole.
Si $wgServer débute par « http:// » une exception sera levée.
Si un proxy inverse ou un CDN est utilisé pour transférer des requêtes de HTTPS vers HTTP, l'entête de la requête X-Forwarded-Proto: https doit être envoyée pour supprimer la redirection.
En plus d'initialiser cette valeur à true, pour des raisons de sécurité optimale, le serveur web doit aussi être configuré pour envoyer les entêtes des réponses HSTS (HTTP Strict Transport Security).
Lorsque $wgForceHTTPS est initialisé à false, la préférence HTTP (ou HTTPS) est suivie par utilisateur en combinant :
- la préférence utilisateur
prefershttps - le cookie
forceHTTPSet les métadonnées de session (disponible viaSession::shouldForceHTTPS())- les éventuelles accroches PHP qui modifient les métadonnées de session (Manual:Hooks/SessionMetadata)
- la méthode PHP
Session::setForceHTTPS()
Disponibilité
Cette variable a été ajoutée dans MediaWiki 1.35.0 (gerrit:608504). Il a été mis à niveau sur la version 1.34 pour la version 1.34.3 de MediaWiki (gerrit:612497) et sur la version 1.31 dans le cadre de la version 1.31.9 de MediaWiki (gerrit:615840).