Configurazione di HTTP

Panoramica delle opzioni di configurazione di Nette HTTP.

Se non si utilizza l'intero framework, ma solo questa libreria, leggere come caricare la configurazione.

Intestazioni HTTP

http:
	# intestazioni che vengono inviate con ogni richiesta
	headers:
		X-Powered-By: MyCMS
		X-Content-Type-Options: nosniff
		X-XSS-Protection: '1; mode=block'

	# influisce sull'intestazione X-Frame-Options
	frames: ...      # (string|bool) predefinito a "SAMEORIGIN".

Per motivi di sicurezza, il framework invia un'intestazione X-Frame-Options: SAMEORIGIN, che dice che una pagina può essere visualizzata all'interno di un'altra pagina (nell'elemento <iframe>) solo se si trova sullo stesso dominio. Questo può essere indesiderato in alcune situazioni (per esempio, se si sta sviluppando un'applicazione Facebook), quindi il comportamento può essere modificato impostando i frame frames: http://allowed-host.com.

Politica di sicurezza dei contenuti

Le intestazioni Content-Security-Policy (d'ora in poi denominate CSP) possono essere facilmente assemblate; la loro descrizione si trova nella descrizione delle CSP. Le direttive CSP (come script-src) possono essere scritte come stringhe secondo le specifiche o come array di valori per una migliore leggibilità. Non è quindi necessario scrivere le virgolette intorno a parole chiave come 'self'. Nette genererà automaticamente anche un valore di nonce, quindi 'nonce-y4PopTLM==' sarà inviato nell'intestazione.

http:
	# Politica di sicurezza dei contenuti
	csp:
		# stringa secondo le specifiche CSP
		default-src: "'self' https://example.com"

		# array di valori
		script-src:
			- nonce
			- strict-dynamic
			- self
			- https://example.com

		# bool nel caso di switch
		upgrade-insecure-requests: true
		block-all-mixed-content: false

Utilizzare <script n:nonce>...</script> nei template e il valore nonce verrà compilato automaticamente. Creare siti web sicuri in Nette è davvero facile.

Allo stesso modo, è possibile aggiungere le intestazioni Content-Security-Policy-Report-Only (che può essere utilizzata in parallelo con CSP) e Feature Policy:

http:
	# Rapporto sulla politica di sicurezza dei contenuti
	cspReportOnly:
		default-src: self
		report-uri: 'https://my-report-uri-endpoint'

	# Politica sulle caratteristiche
	featurePolicy:
		unsized-media: none
		geolocation:
			- self
			- https://example.com

Cookie HTTP

È possibile modificare i valori predefiniti di alcuni parametri dei metodi Nette\Http\Response::setCookie() e session.

http:
	# cookie scope per percorso
	cookiePath: ...          # (string) predefinito a "/".

	# quali host sono autorizzati a ricevere il cookie
	cookieDomain: 'example.com' # (string|dominio) predefinito a non impostato

	# inviare i cookie solo tramite HTTPS?
	cookieSecure: ...        # (bool|auto) predefinito a auto

	# disabilita l'invio del cookie che Nette usa come protezione contro il CSRF
	disableNetteCookie: ...  # (bool) predefinito a false

L'opzione cookieDomain determina quali domini (origini) possono accettare i cookie. Se non è specificata, il cookie viene accettato dallo stesso (sotto)dominio in cui è impostato, escludendo i suoi sottodomini. Se viene specificato cookieDomain, sono inclusi anche i sottodomini. Pertanto, specificare cookieDomain è meno restrittivo che ometterlo.

Ad esempio, se viene impostato cookieDomain: nette.org, il cookie è disponibile anche su tutti i sottodomini come doc.nette.org. Questo può essere ottenuto anche con il valore speciale domain, cioè cookieDomain: domain.

Il valore predefinito di cookieSecure è auto, il che significa che se il sito web funziona su HTTPS, i cookie saranno inviati con il flag Secure e saranno quindi disponibili solo tramite HTTPS.

Proxy HTTP

Se il sito funziona dietro un proxy HTTP, inserire l'indirizzo IP del proxy in modo che il rilevamento delle connessioni HTTPS funzioni correttamente, oltre all'indirizzo IP del client. In altre parole, affinché Nette\Http\Request::getRemoteAddress() e isSecured() restituiscano i valori corretti e i link siano generati con il protocollo https: nei template.

http:
	# indirizzo IP, intervallo (es. 127.0.0.1/8) o array di questi valori
	proxy: 127.0.0.1 # (string|stringa[]) predefinito a nessuno

Sessione

Impostazioni di base delle sessioni:

session:
	# mostra il pannello della sessione nella barra Tracy?
	debugger: ...        # (bool) predefinito a false

	# tempo di inattività dopo il quale la sessione scade
	expiration: 14 days  # (string) predefinito a "3 ore".

	# quando avviare la sessione?
	autoStart: ...       # (smart|true|false) predefinito a "smart".

	# handler, servizio che implementa l'interfaccia SessionHandlerInterface
	handler: @handlerService

L'opzione autoStart controlla quando avviare la sessione. Il valore always significa che la sessione viene sempre avviata all'avvio dell'applicazione. Il valore smart significa che la sessione verrà avviata all'avvio dell'applicazione solo se esiste già, oppure nel momento in cui si vuole leggere o scrivere su di essa. Infine, il valore never disabilita l'avvio automatico della sessione.

È inoltre possibile impostare tutte le direttive di sessione di PHP (in formato camelCase) e anche readAndClose. Esempio:

session:
	# 'session.name' scritto come 'name'.
	name: MYID

	# 'session.save_path' scritto come 'savePath'
	savePath: "%tempDir%/sessioni"

Cookie di sessione

Il cookie di sessione viene inviato con gli stessi parametri degli altri cookie, ma è possibile modificarli:

session:
	# quali host sono autorizzati a ricevere il cookie
	cookieDomain: 'example.com' # (string|dominio)

	# restrizioni per l'accesso a richieste di origine incrociata
	cookieSamesite: ...         # (Strict|Lax|None) predefinito a Lax

L'opzione cookieSamesite influisce sull'invio del cookie con le richieste di origine incrociata, il che fornisce una certa protezione contro gli attacchi di Cross-Site Request Forgery.

Servizi DI

Questi servizi vengono aggiunti al contenitore DI: