HTTP'yi Yapılandırma

Nette HTTP için yapılandırma seçeneklerine genel bakış.

Tüm çerçeveyi değil, yalnızca bu kütüphaneyi kullanıyorsanız, yapılandırmayı nasıl yükleyeceğinizi okuyun.

HTTP Üstbilgileri

http:
	# her istekle birlikte gönderilen başlıklar
	headers:
		X-Powered-By: MyCMS
		X-Content-Type-Options: nosniff
		X-XSS-Protection: '1; mode=block'

	# X-Frame-Options başlığını etkiler
	frames: ...      # (string|bool) varsayılan olarak 'SAMEORIGIN'

Güvenlik nedeniyle, çerçeve bir sayfanın başka bir sayfanın içinde görüntülenebileceğini belirten bir X-Frame-Options: SAMEORIGIN başlığı gönderir (öğe <iframe>) yalnızca aynı etki alanındaysa. Bu bazı durumlarda istenmeyen bir durum olabilir (örneğin, bir Facebook uygulaması geliştiriyorsanız), bu nedenle davranış frames: http://allowed-host.com.

İçerik Güvenliği Politikası

Başlıklar Content-Security-Policy (bundan sonra CSP olarak anılacaktır) kolayca bir araya getirilebilir, açıklamaları CSP açıklam asında bulunabilir. CSP direktifleri ( script-src gibi) spesifikasyona göre dizeler olarak ya da daha iyi okunabilirlik için değer dizileri olarak yazılabilir. Bu durumda 'self' gibi anahtar kelimelerin etrafına tırnak işareti koymaya gerek yoktur. Nette ayrıca otomatik olarak nonce değerini üretecektir, böylece 'nonce-y4PopTLM==' başlıkta gönderilecektir.

http:
	# İçerik Güvenliği Politikası
	csp:
		# CSP spesifikasyonuna göre dize
		default-src: "'self' https://example.com"

		# değerler dizisi
		script-src:
			- nonce
			- strict-dynamic
			- self
			- https://example.com

		# anahtarlar durumunda bool
		upgrade-insecure-requests: true
		block-all-mixed-content: false

Kullanım <script n:nonce>...</script> ve nonce değeri otomatik olarak doldurulacaktır. Nette'de güvenli web siteleri yapmak gerçekten çok kolay.

Benzer şekilde, Content-Security-Policy-Report-Only (CSP ile paralel olarak kullanılabilir) ve Özellik Politikası başlıkları da eklenebilir:

http:
	# Yalnızca İçerik Güvenliği Politikası Raporu
	cspReportOnly:
		default-src: self
		report-uri: 'https://my-report-uri-endpoint'

	# Özellik Politikası
	featurePolicy:
		unsized-media: none
		geolocation:
			- self
			- https://example.com

HTTP Çerezi

Nette\Http\Response::setCookie() ve session yöntemlerinin bazı parametrelerinin varsayılan değerlerini değiştirebilirsiniz.

http:
	# yola göre çerez kapsamı
	cookiePath: ...          # (string) varsayılan olarak '/'

	# hangi ana bilgisayarların çerezi almasına izin verilir
	cookieDomain: 'example.com' # (string|domain) varsayılan olarak unset

	# çerezleri yalnızca HTTPS üzerinden göndermek için?
	cookieSecure: ...        # (bool|auto) varsayılan olarak auto

	# Nette'in CSRF'ye karşı koruma olarak kullandığı çerezin gönderilmesini devre dışı bırakır
	disableNetteCookie: ...  # (bool) varsayılan değer false

cookieDomain seçeneği hangi etki alanlarının (kökenlerin) çerezleri kabul edebileceğini belirler. Belirtilmezse, çerez, alt alan adları hariç tutularak *aynı (alt) alan adı tarafından kabul edilir. Eğer cookieDomain belirtilirse, alt alan adları da dahil edilir. Bu nedenle, cookieDomain belirtmek, belirtmemekten daha az kısıtlayıcıdır.

Örneğin, cookieDomain: nette.org ayarlanırsa, çerez doc.nette.org gibi tüm alt alan adlarında da kullanılabilir. Bu, domain yani cookieDomain: domain özel değeri ile de elde edilebilir.

cookieSecure 'un varsayılan değeri auto 'dir, bu da web sitesi HTTPS üzerinde çalışıyorsa çerezlerin Secure bayrağıyla gönderileceği ve bu nedenle yalnızca HTTPS üzerinden kullanılabileceği anlamına gelir.

HTTP Proxy

Site bir HTTP proxy'sinin arkasında çalışıyorsa, HTTPS bağlantılarının algılanmasının doğru çalışması için proxy'nin IP adresini ve istemci IP adresini girin. Böylece Nette\Http\Request::getRemoteAddress( ) ve isSecured() doğru değerleri döndürür ve şablonlarda https: protokolü ile bağlantılar oluşturulur.

http:
	# IP adresi, aralık (örn. 127.0.0.1/8) veya bu değerlerin dizisi
	proxy: 127.0.0.1 # (string|string[]) varsayılan değeri none

Oturum

Temel oturum ayarları:

session:
	# Tracy Bar'da oturum panelini gösterir mi?
	debugger: ...        # (bool) varsayılan değer false

	# oturumun sona erdiği hareketsizlik süresi
	expiration: 14 days  # (string) varsayılan değer '3 saat'

	# oturum ne zaman başlatılmalı?
	autoStart: ...       # (smart|always|never) varsayılan olarak 'smart'

	# işleyici, SessionHandlerInterface arayüzünü uygulayan hizmet
	handler: @handlerService

autoStart seçeneği oturumun ne zaman başlatılacağını kontrol eder. always değeri, oturumun her zaman uygulama başladığında başlatılacağı anlamına gelir. smart değeri, oturumun uygulama başladığında yalnızca zaten mevcutsa veya ondan okumak ya da ona yazmak istediğimiz anda başlatılacağı anlamına gelir. Son olarak, never değeri oturumun otomatik olarak başlatılmasını devre dışı bırakır.

Ayrıca, tüm PHP oturum yönergelerini (camelCase biçiminde) ve ayrıca readAndClose'u da ayarlayabilirsiniz. Örnek

session:
	# 'session.name' 'name' olarak yazıldı
	name: MYID

	# 'session.save_path', 'savePath' olarak yazılır
	savePath: "%tempDir%/sessions"

Oturum Çerezi

Oturum çerezi diğer çerez lerle aynı parametrelerle gönderilir, ancak bunları onun için değiştirebilirsiniz:

session:
	# hangi ana bilgisayarların çerezi almasına izin verilir
	cookieDomain: 'example.com' # (string|domain)

	# çapraz kökenli isteklere erişirken kısıtlamalar
	cookieSamesite: ...         # (Strict|Lax|None) varsayılan olarak Lax

cookieSamesite seçeneği, çerezin Siteler Arası İstek Sahteciliği saldırılarına karşı bir miktar koruma sağlayan çapraz kökenli isteklerle gönderilip gönderilmeyeceğini etkiler.

DI hizmetleri

Bu hizmetler DI konteynerine eklenir: