সেটিং config.force_ssl
অন্তর্ভুক্ত ActionDispatch::SSL
। ActionDispatch::SSL
নিম্নরূপ (emphases স্বচ্ছতার জন্য যোগ করা হয়েছে) ডক্স কার্যকারিতা বর্ণনা:
অ্যাকশনডিস্প্যাচ :: এসএসএলের জন্য এখানে এবং ডকগুলি অন্তর্ভুক্ত করুন ।
ডকস
এই মিডওয়্যারটি স্ট্যাকটিতে যুক্ত করা হয় config.force_ssl = true
এবং সেট করা বিকল্পগুলি পাস করার পরে config.ssl_options
। সুরক্ষিত HTTP অনুরোধগুলি প্রয়োগ করতে এটি তিনটি কাজ করে:
টিএলএস পুনঃনির্দেশ:
একই URL টি হোস্ট, পাথ ইত্যাদির মাধ্যমে https: // এ স্থায়ীভাবে HTTP: // অনুরোধগুলি পুনঃনির্দেশ করে default config.ssl_options
গন্তব্য URL (যেমন redirect: { host: "secure.widgets.com", port: 8080 }
) পরিবর্তন করতে সেট করুন , বা redirect: false
এই বৈশিষ্ট্যটি অক্ষম করতে সেট করুন
।
সুরক্ষিত কুকিজ: ব্রাউজারগুলিকে তারা http: // অনুরোধের সাথে প্রেরণ করা উচিত নয় তা জানাতে কুকিগুলিতে পতাকা সেট করেsecure
। ডিফল্টরূপে সক্ষম করা হয়েছে। সেট
config.ssl_options
সঙ্গে secure_cookies: false
এই বৈশিষ্ট্যকে অক্ষম করতে।
এইচটিটিপি স্ট্রাইক ট্রান্সপোর্ট সিকিউরিটি (এইচএসটিএস): ব্রাউজারটিকে এই সাইটটিকে কেবলমাত্র টিএলএস হিসাবে মনে রাখতে এবং অ-টিএলএসবিহীন অনুরোধগুলি স্বয়ংক্রিয়ভাবে পুনর্নির্দেশ করতে বলে । ডিফল্টরূপে সক্ষম করা হয়েছে। অক্ষম করার config.ssl_options
সাথে কনফিগার করুন hsts: false
। সেট config.ssl_options
সঙ্গে hsts: { … }
কনফিগার HSTS করুন:
expires
: কতক্ষণ, সেকেন্ডের মধ্যে, এই সেটিংসটি আটকে থাকবে। পূর্বনির্ধারিত
180.days
(প্রস্তাবিত)। ব্রাউজারের প্রিলোড তালিকার জন্য যোগ্যতার জন্য প্রয়োজনীয় সর্বনিম্ন 18.weeks
।
subdomains
: true
সমস্ত উপ-ডোমেনে এই সেটিংস প্রয়োগ করতে ব্রাউজারকে বলতে সেট করুন । এটি আপনার কুকিগুলিকে সাবডোমেনের একটি দুর্বল সাইট দ্বারা বাধা দেওয়া থেকে রক্ষা করে। ডিফল্ট true
।
preload
: বিজ্ঞাপন দিন যে এই সাইটটি ব্রাউজারগুলির প্রিললোড হওয়া এইচএসটিএস তালিকায় অন্তর্ভুক্ত থাকতে পারে। এইচএসটিএস আপনার ওয়েবসাইটটি প্রথম দর্শন ব্যতীত প্রথম দর্শন ব্যতীত সুরক্ষা দেয় কারণ এটি আপনার এইচএসটিএস শিরোনামটি এখনও দেখেনি। এই ফাঁকটি বন্ধ করতে ব্রাউজার বিক্রেতারা এইচএসটিএস-সক্ষম সাইটগুলির বেকড-ইন তালিকা অন্তর্ভুক্ত করে। অন্তর্ভুক্তির জন্য আপনার সাইটটি জমা দিতে https://hstspreload.appspot.com এ যান । এইচএসটিএস বন্ধ করতে, শিরোনাম বাদ দেওয়া যথেষ্ট নয়। ব্রাউজারগুলি এটির মেয়াদ শেষ না হওয়া পর্যন্ত আসল এইচএসটিএস নির্দেশনা মনে রাখবে। পরিবর্তে, HSTS অবিলম্বে মেয়াদ শেষ করতে ব্রাউজারগুলিকে বলতে হেডারটি ব্যবহার করুন। সেটিংয়ের hsts: false
জন্য একটি শর্টকাট hsts: { expires: 0 }
।
অনুরোধগুলি এর সাথে পুনঃনির্দেশ থেকে বেরিয়ে যেতে পারে exclude
:
config.ssl_options = { redirect: { exclude: -> request { request.path =~ /healthcheck/ } } }