Вирішення: setTrustedProxies()

Щоб виправити це, вам потрібно сказати Symfony, яким IP-адресам зворотного проксі можна довіряти, і які заголовки використовує ваш проксі для відправки інформації:

1
2
3
4
5
6
7
8
9

# config/packages/framework.yaml
framework:
    # ...
    # IP-адреса (або діапазон) вашого проксі
    trusted_proxies: '192.0.0.1,10.0.0.0/8'
    # довіряти *всім* заголовкам "X-Forwarded-*"
    trusted_headers: ['x-forwarded-for', 'x-forwarded-host', 'x-forwarded-proto', 'x-forwarded-port', 'x-forwarded-prefix']
    # або, якщо ваш проксі замість цього використовує заголовок "Forwarded"
    trusted_headers: ['forwarded']

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

<!-- config/packages/framework.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<container xmlns="http://symfony.com/schema/dic/services"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:framework="http://symfony.com/schema/dic/symfony"
    xsi:schemaLocation="http://symfony.com/schema/dic/services
        https://symfony.com/schema/dic/services/services-1.0.xsd
        http://symfony.com/schema/dic/symfony
        https://symfony.com/schema/dic/symfony/symfony-1.0.xsd">

    <framework:config>
        <!-- IP-адреса (або діапазон) вашого проксі -->
        <framework:trusted-proxies>192.0.0.1,10.0.0.0/8</framework:trusted-proxies>

        <!-- довіряти *всім* заголовкам "X-Forwarded-*" -->
        <framework:trusted-header>x-forwarded-for</framework:trusted-header>
        <framework:trusted-header>x-forwarded-host</framework:trusted-header>
        <framework:trusted-header>x-forwarded-proto</framework:trusted-header>
        <framework:trusted-header>x-forwarded-port</framework:trusted-header>
        <framework:trusted-header>x-forwarded-prefix</framework:trusted-header>

        <!-- або, якщо ваш проксі замість цього використовує заголовок "Forwarded" -->
        <framework:trusted-header>forwarded</framework:trusted-header>
    </framework:config>
</container>

1
2
3
4
5
6
7
8
9
10
11
12
13

// config/packages/framework.php
use Symfony\Config\FrameworkConfig;

return static function (FrameworkConfig $framework): void {
    $framework
        // IP-адреса (або діапазон) вашого проксі
        ->trustedProxies('192.0.0.1,10.0.0.0/8')
        // довіряти *всім* заголовкам "X-Forwarded-*" (префікс ! означає не довіряти цим заголовкам)
        ->trustedHeaders(['x-forwarded-for', 'x-forwarded-host', 'x-forwarded-proto', 'x-forwarded-port', 'x-forwarded-prefix'])
        // або, якщо ваш проксі замість цього використовує заголовок "Forwarded"
        ->trustedHeaders(['forwarded'])
    ;
};

Обʼєкт Запит має декілька констант Request::HEADER_*, які контролюють, яким заголовкам вашого зворотного проксі можна довіряти. Аргумент є полем біту, так що ви також можете передати власне значення (наприклад, 0b00110).

1
2

# .env
TRUSTED_PROXIES=127.0.0.1,10.0.0.0/8

1
2
3
4

# config/packages/framework.yaml
framework:
    # ...
    trusted_proxies: '%env(TRUSTED_PROXIES)%'

Але що, якщо IP мого зворотнго проксі постійно змінюється!

Деякі зворотні проксі (на кшталт Еластичного розподілення навантаження AWS) не мають статичної IP-адреси або навіть діапазону, який ви можете охопити за допомогою CIDS примітки. В такому випадку вам потрібно буде - дуже обережно - довіряти всім проксі.

1. Сконфігуруйте ваш(і) веб-сервер(и), щоб вони не відповідали на трафік будь-яких клієнтів, окрім ваших розподілювачів навантаження. Для AWS це можна зробити за допомогою груп безпеки.

2. Коли ви гарантували, що трафік буде виходити лише від довірених зворотних проксі, сконфігуруйте Symfony завжди довіряти вхідному запиту:

   1
   2
   3
   4
   5
   6

   # config/packages/framework.yaml
   framework:
       # ...
       # довіряти *всім* запитам (рядок 'REMOTE_ADDR' замінюється під час
       # прогону на $_SERVER['REMOTE_ADDR'])
       trusted_proxies: '127.0.0.1,REMOTE_ADDR'

Ось і все! Критично важливо, щоб ви запобігли трафіку з усіх недовірених джерел. Якщо ви доозволите сторонній трафік, він може "підробити" справжні IP-адреси та іншу інформацію.

Якщо ви також використовуєте зворотний проксі над вашим балансувальником навантаження (наприклад, CloudFront), виклику $request->server->get('REMOTE_ADDR') буде недостатньо, так як він буде довіряти лише вузллу, що знаходиться прямо над вашим додатком (в даному випадку - вашому балансувальнику наванатаження). Вам також потрібно додати IP-адреси або діапазон будь-якого додаткового проксі (наприклад, IP-діапазони CloudFront) до масиву довірених проксі.

Зворотний проксі у підшляху / підкаталозі

Якщо ваш додаток Symfony працює через зворотний проксі, і він обслуговується у підшляху/підкаталозі, Symfony може генерувати некоректні URL-адреси, які ігнорують підшлях/підкаталог зворотного проксі.

Щоб виправити це, вам потрібно передати Symfony префікс зворотного проксі підшляху/підкаталогy, встановивши заголовок X-Forwarded-Prefix. Цей заголовок зазвичай можна налаштувати у конфігурації вашого зворотного проксі. Сконфігуруйте X-Forwarded-Prefix як довірений заголовок, щоб мати змогу використовувати цю функцію.

Префікс X-Forwarded-Prefix використовується Symfony для додавання префікса до базової URL-адреси обʼєктів запиту, яка використовується для генерації абсолютних шляхів та URL в додатках Symfony. Без цього заголовка базовий URL буде визначатися лише на основі конфігурації веб-сервера, на якому запущено Symfony, що призводить до некоректних шляхів/URL, коли додаток обслуговується за підшляхом/підкаталогом через зворотний проксі.

Наприклад, якщо ваш додаток Symfony обслуговується безпосередньо за URL на кшталт https://symfony.tld/ і ви хочете використовувати зворотній проксі для обслуговування додатку за адресою https://public.tld/app/, вам потрібно встановити заголовок X-Forwarded-Prefix як /app/ у вашій конфігурації зворотного проксі. Без цього заголовка Symfony генеруватиме URL на основі базової URL-адреси сервера (наприклад, /my/route) замість правильного /app/my/route, який необхідний для доступу до маршруту через зворотний проксі.

Заголовок може бути різним для кожного зворотного проксі, щоб доступ через різні зворотні проксі, які обслуговуються в різних підшляхах/підкаталогах, міг оброблятися коректно.

Користувацькі заголовки при використанні зворотного проксі

Деякі зворотні проксі (на кшталт CloudFront з CloudFront-Forwarded-Proto) можуть змушувати вас використовувати користувацький заголовок. Наприклад, у вас є Custom-Forwarded-Proto замість X-Forwarded-Proto.

В такому випадку вам знадобиться встановити заголовок X-Forwarded-Proto зі значенням Custom-Forwarded-Proto достатньо рано у вашому додатку, тобто, перед обробкою запиту:

1
2
3
4
5
6

// public/index.php

// ...
$_SERVER['HTTP_X_FORWARDED_PROTO'] = $_SERVER['HTTP_CUSTOM_FORWARDED_PROTO'];
// ...
$response = $kernel->handle($request);

Перевизначення конфігурації за прихованим завершенням SSL

Деякі хмарні налаштування (наприклад, запуск контейнера Docker за допомогою "Web App for Containers" в Microsoft Azure) виконують завершення SSL-з'єднання і зв'язуються з вашим веб-сервером по HTTP, але не змінюють віддалену адресу і не встановлюють заголовки X-Forwarded-*. Це означає, що функція довіреного проксі в Symfony не може вам допомогти.

Після того, як ви переконалися, що ваш сервер доступний лише через хмарний проксі по HTTPS а не через HTTP, ви можете перевизначити інформацію, яку ваш веб-сервер надсилає PHP. Для Nginx це може виглядати так:

1
2
3
4
5
6
7

location ~ ^/index\.php$ {
    fastcgi_pass 127.0.0.1:9000;
    include fastcgi.conf;
    # Збрехати Symfony про протокол і порт, щоб вона згенерувала правильні HTTPS URL
    fastcgi_param SERVER_PORT "443";
    fastcgi_param HTTPS "on";
}