在将php应用程序迁移至aws ec2时,若遇到“the form submitted did not originate from the expected site”错误,这通常是由于应用程序的csrf保护机制或安全cookie设置在http环境下被触发。本文将详细阐述此错误的原因,并提供将应用环境从http升级至https的解决方案,包括在ec2上配置ssl/tls证书及相关设置,以确保表单提交的安全性和应用的正常运行。
理解“表单提交来源非预期站点”错误
当PHP应用程序(特别是基于Zend等现代框架构建的应用)在AWS EC2上运行时,如果出现“The form submitted did not originate from the expected site”错误,这通常表明应用程序内置的安全机制被触发。此错误的核心原因通常与以下两点相关:
跨站请求伪造 (CSRF) 保护机制:为了防止CSRF攻击,许多Web框架会在表单中嵌入一个隐藏的令牌(CSRF Token),并在提交时验证该令牌的有效性及来源。如果请求的来源(Origin)与预期不符,或者会话信息(如Cookie)在不安全的连接中被篡改或丢失,就可能导致验证失败。安全Cookie (Secure Flag):当应用程序在HTTPS环境下设置了带有Secure标志的Cookie时,这些Cookie只会在加密连接中发送。如果在迁移后,应用程序仍然尝试通过HTTP访问,那么这些带有Secure标志的Cookie将不会被浏览器发送,导致会话信息丢失或不完整,进而影响CSRF令牌的验证。
在AWS EC2环境下,尤其是在从本地开发环境迁移到云端时,很容易忽略HTTP到HTTPS的协议切换,从而引发此类安全错误。
解决方案核心:启用HTTPS
解决此问题的最直接且推荐的方法是为您的应用程序启用HTTPS。HTTPS通过SSL/TLS协议加密客户端与服务器之间的通信,确保数据传输的机密性和完整性,同时满足应用程序对安全Cookie和CSRF保护的严格要求。
在AWS EC2上配置HTTPS的常用方法
在AWS EC2上启用HTTPS主要有两种策略:通过负载均衡器(推荐)或直接在EC2实例上配置。
立即学习“PHP免费学习笔记(深入)”;
1. 使用AWS Application Load Balancer (ALB) 或 Network Load Balancer (NLB) (推荐)
这是生产环境中实现HTTPS的最佳实践。ALB/NLB可以处理SSL/TLS终止,将加密流量解密后以HTTP协议转发到后端EC2实例,从而减轻EC2实例的计算负担。
步骤概述:
获取SSL/TLS证书:AWS Certificate Manager (ACM):最简便的方式是使用ACM来免费预置和管理SSL/TLS证书。ACM证书可以与ALB/NLB无缝集成,并自动续期。第三方证书:如果您已有其他来源的证书,可以将其导入ACM。创建Application Load Balancer (ALB):在AWS EC2控制台导航到“负载均衡器”,点击“创建负载均衡器”,选择“Application Load Balancer”。配置监听器:添加两个监听器:一个监听器配置为HTTP:80,用于将所有HTTP请求重定向到HTTPS。另一个监听器配置为HTTPS:443,并选择您在ACM中预置或导入的SSL/TLS证书。配置目标组:创建一个目标组,将您的PHP应用程序所在的EC2实例添加到该目标组中。确保目标组的协议设置为HTTP,端口为80(或您的PHP应用监听的端口),因为ALB会处理SSL终止。配置路由规则:对于HTTPS:443监听器,添加规则将流量转发到您的目标组。对于HTTP:80监听器,添加规则将所有请求重定向到HTTPS://#{host}:443/#{path}?#{query}。更新DNS记录:将您的域名CNAME记录指向ALB的DNS名称。
ALB监听器重定向示例(伪代码):
# HTTP:80 监听器规则IF Host is any AND Path is anyTHEN Redirect to HTTPS://#{host}:443/#{path}?#{query} with HTTP_CODE 301
2. 直接在EC2实例上配置SSL/TLS (适用于小型应用或开发环境)
如果您没有使用负载均衡器,也可以直接在EC2实例上配置Web服务器(如Apache HTTP Server或Nginx)来处理SSL/TLS。
步骤概述(以Apache HTTP Server为例):
获取SSL/TLS证书:
Let’s Encrypt (Certbot):这是免费且自动化的获取证书的流行方式。
sudo yum install -y epel-release # RHEL/CentOSsudo dnf install -y epel-release # Fedorasudo apt-get install -y certbot python3-certbot-apache # Debian/Ubuntusudo certbot --apache -d your_domain.com -d www.your_domain.com
Certbot会自动修改Apache配置并设置证书自动续期。
购买商业证书:购买后,您会收到证书文件(.crt)、私钥文件(.key)和中间证书文件(.pem或.crt)。
配置Apache HTTP Server:
确保已安装mod_ssl模块:
sudo yum install -y mod_ssl # RHEL/CentOSsudo a2enmod ssl # Debian/Ubuntu
编辑Apache的SSL配置文件,通常位于/etc/httpd/conf.d/ssl.conf (RHEL/CentOS) 或 /etc/apache2/sites-available/default-ssl.conf (Debian/Ubuntu)。
在VirtualHost *:443块中配置证书路径:
ServerName your_domain.com DocumentRoot /var/www/html/your_app_root SSLEngine on SSLCertificateFile /etc/letsencrypt/live/your_domain.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/your_domain.com/privkey.pem # SSLCertificateChainFile /path/to/intermediate_certificate.crt # 如果有中间证书 # 强制所有HTTP请求重定向到HTTPS RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] ErrorLog /var/log/httpd/your_app_ssl_error.log CustomLog /var/log/httpd/your_app_ssl_access.log combined# 可选:配置HTTP到HTTPS的重定向 ServerName your_domain.com RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
重启Apache:
sudo systemctl restart httpd # RHEL/CentOSsudo systemctl restart apache2 # Debian/Ubuntu
配置安全组:确保EC2实例的安全组允许来自TCP:443端口的入站流量。
应用程序层面的调整
即使配置了Web服务器或负载均衡器,有时PHP应用程序内部也可能需要一些调整来正确识别HTTPS连接。
框架配置:检查您的PHP框架(如Zend Framework)的配置文件,确保其基础URL或环境配置指向HTTPS。例如,可能需要设置baseUrl为https://your_domain.com。$_SERVER变量:在某些情况下,如果负载均衡器终止了SSL,后端EC2实例收到的请求协议仍是HTTP。ALB通常会添加X-Forwarded-Proto头来指示原始请求的协议。您的应用程序可能需要检查此头:
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') { // 请求是HTTPS} elseif (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on') { // 请求是HTTPS} else { // 请求是HTTP}
许多框架会自动处理这些代理头,但如果遇到问题,值得检查。
总结与注意事项
将PHP应用程序迁移到AWS EC2并解决“表单提交来源非预期站点”错误,核心在于确保应用程序在安全的HTTPS环境中运行。无论是通过AWS负载均衡器还是直接在EC2实例上配置SSL/TLS,启用HTTPS不仅能解决此特定错误,还能显著提升应用程序的整体安全性。
关键点回顾:
此错误通常与CSRF保护和安全Cookie在HTTP环境下失效有关。推荐方案:使用AWS ALB/NLB与ACM集成,实现SSL/TLS终止和HTTP到HTTPS的重定向。备选方案:直接在EC2实例的Web服务器(如Apache)上配置SSL/TLS,可使用Let’s Encrypt免费证书。确保EC2安全组允许HTTPS(443端口)流量。检查应用程序的配置,确保其正确识别HTTPS协议。
通过遵循上述步骤,您的PHP应用程序将能在AWS EC2上安全稳定地运行,避免因协议不匹配导致的安全问题。
以上就是解决EC2上PHP应用“表单提交来源非预期站点”错误:HTTPS配置指南的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1325533.html
微信扫一扫 
支付宝扫一扫 
