我在网上看过很多教程,上面说你需要判断$_SERVER['HTTPS']个服务器连接是否使用HTTPS保护.我的问题是,在我使用的一些服务器上,$_SERVER['HTTPS']是一个未定义的变量,会导致错误.是否有其他我可以判断的变量应该始终定义?
我想明确一点,我目前正在使用此代码来解析它是否是HTTPS连接:
if(isset($_SERVER['HTTPS'])) {
if ($_SERVER['HTTPS'] == "on") {
$secure_connection = true;
}
}
即使$_SERVER['HTTPS']未定义,也应始终有效:
function isSecure() {
return
(!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off')
|| $_SERVER['SERVER_PORT'] == 443;
}
该代码与IIS兼容.
从PHP.net documentation and user comments人中:
如果通过HTTPS协议查询脚本,则设置为非空值.
请注意,在IIS中使用ISAPI时,如果请求不是通过HTTPS协议发出的,则该值将为"off".(IIS7运行PHP作为快速CGI应用程序的情况也有报道).
还有Apache1.即使安全连接,x服务器(以及损坏的安装)也可能没有定义.虽然不能保证,但端口443上的连接可能使用secure sockets,因此需要额外的端口判断.
附加说明:如果客户机和服务器之间存在负载平衡器,则此代码不会测试客户机和负载平衡器之间的连接,而是测试负载平衡器和服务器之间的连接.要测试前一个连接,必须使用HTTP_X_FORWARDED_PROTO报头进行测试,但这要复杂得多;见下面latest comments条答案.