php教程
js文档Node.jsVue.jsReactjQueryES2015(es6)angularjscss3动画vbs最新电影flutter微信小程序C教程java教程C++教程C#教程php教程sql教程mysql教程android教程ios教程python教程正则表达式

PHP会话HTTP到HTTPS问题

发布时间:2022-04-30 发布网站:脚本宝典
脚本宝典收集整理的这篇文章主要介绍了PHP会话HTTP到HTTPS问题脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个(HTTPS)login.PHP页面保持HTTPS(即一旦用户登录进入帐户仪表板).现在的问题是用户登录到安全的仪表板上时点击到非敏感页面(HTTP)about-us.PHP页面,会话不通过HTTP传输,因为我有session.cookie_secure = 1,这意味着用户出现在HTTP页面上.

然而,当用户回到仪表板页面或任何敏感帐户页面时,我被告知他还应该登录(即从HTTP返回到HTTPS)?但是,情况并非如此,他也出现在HTTPS连接上?

我相信我错过了一些导致这个问题的事情.这是我的代码

这是PHP文件,被调用以在LOGin.PHP页面上启动会话:

session_start();
session_regenerate_id(true); /*avoid session fixation attempt*/

/*Create and check how long session has been started (over 5 mins) regenerate id - avoid session hijack*/
if(!isset($_SESSION['CREATED'])) 
{
    $_SESSION['CREATED'] = time();/*time created session,ie From login/contact advertiser/email_confirm only ways for new session to start*/
} 
elseif(time() - $_SESSION['CREATED'] > 300) 
{
    /*session started more than 5 mins(300 secs) ago*/
    session_regenerate_id(true); /*change session ID for the current session and invalidate old session ID*/
    $_SESSION['CREATED'] = time(); /*update creation time*/
}

/*Check if user is logged in*/
if(!isset($_SESSION['loggedin']))
{
    $_SESSION['loggedin']=1;/*used to track if user is logged in on pages*/
}

/*if return false browser supports standard ob_start();*/
if(ob_start("ob_gzhandler")){ob_start();}

这是每个页面上需要的PHP文件,以检查会话是否已启动:

session_start(); 

$session_errors=0;/* if>0 user not logged in*/

/*check if session is already inITiated*/
if(isset($_SESSION['CREATED'])) 
{
    if(time() - $_SESSION['CREATED'] > 300) 
    {
        /*session started more than 5 mins(300 secs) ago*/
        session_regenerate_id(true); /*change session ID for the current session and invalidate old session ID*/
        $_SESSION['CREATED'] = time(); /*update creation time*/
    }
}
elseif(!isset($_SESSION['CREATED'])){$session_errors++;}/*user not logged in*/

/*Check if user is logged in*/
if(!isset($_SESSION['loggedin'])){$session_errors++;}/*user not logged in*/

if(ob_start("ob_gzhandler")){ob_start();}

另外如果使用这个代码来转换非敏感页面上的HTTPS,如about-us.PHP

if ($_SERVER['SERVER_PORT']!=80)
{
$url = "http://". $_SERVER['SERVER_NamE'] . ":80".$_SERVER['REQUEST_URI'];
header("Location: $url");
}

我的PHP.ini文件cookie设置

session.cookie_secure=1
session.cookie_httponly=1
session.use_only_cookies=1
session.cookie_lifetime = 0
session.save_path = /tmp
session.save_handler = files
答应帮助可能绊倒的人

正如Session lost when switching from HTTP to HTTPS in PHP的答案已经得出结论,由于您正在使用session.cookie_secure = 1,当连接从HTTPS切换到HTTP时,不会传输包含会话ID的cookie.在HTTP连接时,当您使用session_start()时,PHP会创建一个新的会话ID,该会话ID将替代以前的会话ID.

答案还建议一个解决方案,使用查询字符串传递会话ID,然后由页面拾取.这闻到安全缺陷的坏处.不要忘记我们为什么首先使用HTTPS的原因

所以我向你建议的解决方案是将所有http请求重定向到https对应.对您网站中的所有内容使用HTTPS,从CSS,图像到平凡的静态HTML页面.这实际上是每个应用程序严重的安全性.例如,使用HTTP访问github页面将返回:

HTTP/1.1 301 Moved PErmanently
Server: Nginx/0.7.67
Date: Sun,08 May 2011 15:43:01 GMT
Content-type: text/htML
Content-Length: 185
Connection: close
Location: https://github.COM/

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>Nginx/0.7.67</center>
</body>
</html>

请记住,为什么您首先使用HTTPS,如果您想要完全安全,请使用HTTPS进行所有操作.

引导时检测请求是否为HTTPS或不是(See this question).

如果请求是HTTP,请将所有请求重定向到HTTPS主页,或者您可以尝试解析$_SERVER [‘REQUEST_URI’],并使用parse_url和http_build_url将HTTP请求重定向到HTTPS对应.

第二种替代方案

如果您真的不想为所有内容使用HTTPS,那么在使用HTTP访问的页面上不要使用session_start().执行此操作时,将保留安全Cookie.

第三种替代方案

一个解决方案是通过IP地址和用户代理来尝试和检测用户.这不能保证是准确的,所以我建议只是使用HTTPS的一切.例如,PayPal总是使用HTTPS,即使是平凡的静态页面.

脚本宝典总结

以上是脚本宝典为你收集整理的PHP会话HTTP到HTTPS问题全部内容,希望文章能够帮你解决PHP会话HTTP到HTTPS问题所遇到的问题。

如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
标签:httphttpshttpsphp会话会话问题问题
猜你在找的php教程相关文章
其他相关热搜词更多
phpjavapython程序员loadpost-format-gallerydivString参数开发ListcapMapClass工具安装SQL数据库资源this
全站导航更多
html5HTML/XhtmlCSSXML/XSLTDreamweaver教程Frontpage教程心得技巧JavaScriptASP.NETPHP编程正则表达式AJAX相关ASP编程JSP编程编程10000问CSS/HTMLFlexvbsDOS/BAThtahtcpythonperl游戏相关VBA远程脚本ColdFusionMsSqlMysqlmariadboracleDB2mssql2008mssql2005SQLitePostgreSQLMongoDB星外虚拟主机华众虚拟主机Linuxwin服务器FTP服务器DNS服务器Tomcatnginxzabbix云和虚拟化bios系统安装系统系统进程Windows系列LINUXRedHat/CentosUbuntu/DebianFedoraSolaris红旗Linux建站经验微信营销网站优化网站策划网络赚钱网络创业站长故事alexa域名photoshop教程摄影教程Fireworks教程CorelDraw教程Illustrator教程Painter教程Freehand教程IndesignSketch笔记本主板内存CPU存储显卡显示器光存储鼠标键盘平板电脑安全教程杀毒防毒安全设置病毒查杀脚本攻防入侵防御工具使用业界动态Exploit漏洞分析
最新php教程教程
热门php教程教程