HTTP konfigurieren

Überblick über die Konfigurationsmöglichkeiten für Nette HTTP.

Wenn Sie nicht das gesamte Framework, sondern nur diese Bibliothek verwenden, lesen Sie , wie Sie die Konfiguration laden.

HTTP-Kopfzeilen

http:
	# Header, die mit jeder Anfrage gesendet werden
	headers:
		X-Powered-By: MyCMS
		X-Content-Type-Options: nosniff
		X-XSS-Protection: '1; mode=block'

	# betrifft den Header X-Frame-Options
	frames: ...      # (string|bool) Standardwert ist 'SAMEORIGIN'

Aus Sicherheitsgründen sendet das Framework einen Header X-Frame-Options: SAMEORIGIN, der besagt, dass eine Seite nur dann innerhalb einer anderen Seite angezeigt werden kann (im Element <iframe>) nur angezeigt werden kann, wenn sie sich auf derselben Domäne befindet. Dies kann in bestimmten Situationen unerwünscht sein (z. B. wenn Sie eine Facebook-Anwendung entwickeln), daher kann das Verhalten durch die Einstellung von frames: http://allowed-host.com.

Sicherheitsrichtlinien für Inhalte

Header Content-Security-Policy (im Folgenden als CSP bezeichnet) lassen sich leicht zusammenstellen, ihre Beschreibung ist in der CSP-Beschreibung zu finden. CSP-Direktiven (wie z. B. script-src) können zur besseren Lesbarkeit entweder als Zeichenketten gemäß der Spezifikation oder als Arrays von Werten geschrieben werden. Dann ist es nicht notwendig, Anführungszeichen um Schlüsselwörter wie 'self' zu setzen. Nette generiert auch automatisch einen Wert von nonce, so dass 'nonce-y4PopTLM==' im Header gesendet wird.

http:
	# Content Security Policy
	csp:
		# String gemäß CSP-Spezifikation
		default-src: "'self' https://example.com"

		# Array von Werten
		script-src:
			- nonce
			- strict-dynamic
			- self
			- https://example.com

		# bool für den Fall von Schaltern
		upgrade-insecure-requests: true
		block-all-mixed-content: false

Verwenden Sie <script n:nonce>...</script> in den Vorlagen und der Nonce-Wert wird automatisch ausgefüllt. Die Erstellung sicherer Websites in Nette ist wirklich einfach.

In ähnlicher Weise können die Header Content-Security-Policy-Report-Only (die parallel zu CSP verwendet werden können) und Feature Policy hinzugefügt werden:

http:
	# Content Security Policy Report-Only
	cspReportOnly:
		default-src: self
		report-uri: 'https://my-report-uri-endpoint'

	# Feature Policy
	featurePolicy:
		unsized-media: none
		geolocation:
			- self
			- https://example.com

HTTP-Cookie

Sie können die Standardwerte einiger Parameter der Methoden Nette\Http\Response::setCookie() und session ändern.

http:
	# Cookie-Bereich nach Pfad
	cookiePath: ...        # (String) standardmäßig '/'

	# welche Hosts das Cookie empfangen dürfen
	cookieDomain: 'example.com' # (string|domain) ist standardmäßig nicht gesetzt

	# Cookies nur über HTTPS senden?
	cookieSecure: ...      # (bool|auto) ist standardmäßig auf auto eingestellt

	# deaktiviert das Senden des Cookies, das Nette als Schutz gegen CSRF verwendet
	disableNetteCookie: ...  # (bool) Standardwert ist false

Die Option cookieDomain bestimmt, welche Domänen (Ursprünge) Cookies akzeptieren können. Ist sie nicht angegeben, wird das Cookie von derselben (Sub-)Domain akzeptiert, die es gesetzt hat, ausgenommen deren Subdomains. Wenn cookieDomain angegeben ist, werden auch Subdomains einbezogen. Daher ist die Angabe von cookieDomain weniger restriktiv als das Weglassen.

Wenn z. B. cookieDomain: nette.org angegeben wird, ist das Cookie auch auf allen Subdomains wie doc.nette.org verfügbar. Dies kann auch mit dem speziellen Wert domain, also cookieDomain: domain erreicht werden.

Der Standardwert von cookieSecure ist auto, d. h. wenn die Website über HTTPS läuft, werden Cookies mit dem Flag Secure gesendet und sind daher nur über HTTPS verfügbar.

HTTP-Proxy

Wenn die Website hinter einem HTTP-Proxy läuft, geben Sie die IP-Adresse des Proxys ein, damit die Erkennung von HTTPS-Verbindungen korrekt funktioniert, sowie die IP-Adresse des Clients. Das heißt, damit Nette\Http\Request::getRemoteAddress() und isSecured() die richtigen Werte zurückgeben und Links mit dem Protokoll https: in den Vorlagen erzeugt werden.

http:
	# IP-Adresse, Bereich (z. B. 127.0.0.1/8) oder Array dieser Werte
	proxy: 127.0.0.1 # (string|string[]) ist standardmäßig none

Session

Grundeinstellungen für Sessionen:

session:
	# zeigt das Sessionsfenster in der Tracy Bar?
	debugger: ...        # (bool) ist standardmäßig auf false eingestellt

	# Inaktivitätszeit, nach der die Session abläuft
	expiration: 14 days  # (string) Standardwert ist '3 Stunden'

	# wann wird die Session gestartet?
	autoStart: ...       # (smart|always|never) Standardwert ist 'smart'

	# handler, Dienst, der die Schnittstelle SessionHandlerInterface implementiert
	handler: @handlerService

Mit der Option autoStart wird festgelegt, wann die Session gestartet werden soll. Der Wert always bedeutet, dass die Session immer gestartet wird, wenn die Anwendung startet. Der Wert smart bedeutet, dass die Session beim Starten der Anwendung nur dann gestartet wird, wenn sie bereits existiert, oder in dem Moment, in dem wir aus ihr lesen oder in sie schreiben wollen. Mit dem Wert never schließlich wird der automatische Start der Session deaktiviert.

Sie können auch alle PHP-Session-Direktiven (im camelCase-Format) und auch readAndClose setzen. Beispiel:

session:
	# 'session.name' geschrieben als 'name'
	name: MYID

	# 'session.save_path' geschrieben als 'savePath'
	savePath: "%tempDir%/sessions"

Sessions-Cookie

Das Sessions-Cookie wird mit denselben Parametern wie andere Cookies gesendet, aber Sie können diese Parameter ändern:

session:
	# welche Hosts dürfen das Cookie erhalten
	cookieDomain: 'example.com' # (string|domain)

	# Einschränkungen beim Zugriff auf herkunftsübergreifende Anfragen
	cookieSamesite: None        # (Strict|Lax|None) Standardwert ist Lax

Die Option cookieSamesite bestimmt, ob das Cookie bei herkunftsübergreifenden Anfragen gesendet wird, was einen gewissen Schutz gegen Cross-Site Request Forgery-Angriffe bietet.

DI-Dienste

Diese Dienste werden dem DI-Container hinzugefügt: