Posts

Showing posts from March 10, 2011

Implémentation PHP pour HTTPS

Image
Les entêtes Strict-Transport-Security doivent être envoyer via des réponses HTTPS. L'implémentation du côté client ne doit pas respecter les entêtes STS qui ne sont pas envoyées via des réponses HTTPS, ou au travers de réponses HTTPS qui ne sont pas configurées proprement, et sans certificat de confiance. Les bribes de configuration de serveur suivantes doivent être effectuées dans un contexte de bloc de configuration d'un site SSL, et les exemples de codes ne doivent être effectuées que dans un contexte de réponses HTTPS.
Il faut noter que le temps maximum (max-age) est donnée en secondes. Les 500 secondes dans les exemples ci-dessous peuvent être remplacées par des valeurs plus larges en fonction des besoins du gestionnaire du serveur web.
Implémentation PHP.
$use_sts=true;if($use_sts&&isset($_SERVER['HTTPS'])){header('Strict-Transport-Security: max-age=500');}elseif($use_sts&&!isset($_SERVER['HTTPS'])){header('Status-Code…