保護您的 Laravel 應用程式免受因 TLS/SSL 配置較弱而導致的漏洞的影響,對於保護敏感資料和遵守現代安全最佳實踐至關重要。本指南詳細介紹了 TLS/SSL 配置較弱的組成、相關風險以及如何在 Laravel 專案中修正這些風險。 提供了用於實施穩健協議的程式碼範例,以及有關使用免費安全檢查工具來評估網站安全狀況的說明。
TLS/SSL(傳輸層安全/安全通訊端層)對於加密客戶端和伺服器之間的通訊至關重要。 然而,弱配置,例如使用過時的協定(如 SSL 2.0 或 SSL 3.0)或弱密碼,會使您的應用程式容易受到攻擊,包括:
我們的免費網站安全掃描程式可輕鬆識別 TLS/SSL 弱點。 它會產生一份詳細的報告,指出不安全協議、弱密碼或丟失 HSTS 標頭等漏洞。
工具介面的螢幕截圖如下所示,以幫助其使用:
免費工具網頁的螢幕截圖,顯示對安全評估工具的存取。
透過更新您的網路伺服器設定來強制執行安全性協定。 以下是 Apache 和 Nginx 的範例:
阿帕契:
<code><virtualhost>
SSLEngine on
SSLProtocol -All +TLSv1.2 +TLSv1.3
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</virtualhost></code>Nginx:
<code>server {
listen 443 ssl;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}</code>利用 Laravel 中介軟體強制執行 HTTPS 並合併安全標頭。
<code class="language-php"><?php namespace App\Http\Middleware;
use Closure;
class SecureHeaders
{
public function handle($request, Closure $next)
{
$response = $next($request);
$response->headers->set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload');
$response->headers->set('X-Content-Type-Options', 'nosniff');
$response->headers->set('X-Frame-Options', 'DENY');
return $response;
}
}</code>在app/Http/Kernel.php中註冊這個中間件。
<code class="language-php">protected $middleware = [
// Other middleware
\App\Http\Middleware\SecureHeaders::class,
];</code>完成這些修改後,使用免費工具重新測試您網站的 TLS/SSL 強度。 將產生一份詳細說明您網站安全狀態的綜合報告。
漏洞評估報告樣本如下:
突出顯示潛在漏洞的漏洞評估報告範例。
我們的工具提供:
點擊此處立即執行網站漏洞檢查!
薄弱的 TLS/SSL 設定會為您的 Laravel 應用程式帶來重大風險。 透過實施安全協議、有效配置 Laravel 中間件以及利用我們的免費網站安全檢查器等工具,您可以顯著增強網站的安全性。
以上是如何修復 Laravel 中的弱 TLS/SSL 配置的詳細內容。更多資訊請關注PHP中文網其他相關文章!
