vendor/nelmio/security-bundle/src/EventListener/ForcedSslListener.php line 78

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of the Nelmio SecurityBundle.
  7.  *
  8.  * (c) Nelmio <hello@nelm.io>
  9.  *
  10.  * For the full copyright and license information, please view the LICENSE
  11.  * file that was distributed with this source code.
  12.  */
  14. namespace Nelmio\SecurityBundle\EventListener;
  16. use Symfony\Component\HttpFoundation\RedirectResponse;
  17. use Symfony\Component\HttpKernel\Event\RequestEvent;
  18. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  20. final class ForcedSslListener
  21. {
  22.     use KernelEventForwardCompatibilityTrait;
  24.     private ?int $hstsMaxAge;
  25.     private bool $hstsSubdomains;
  26.     private bool $hstsPreload;
  27.     private ?string $allowList;
  28.     private ?string $hosts;
  29.     private int $redirectStatusCode;
  31.     /**
  32.      * @param list<string> $allowList
  33.      * @param list<string> $hosts
  34.      */
  35.     public function __construct(
  36.         ?int $hstsMaxAge,
  37.         bool $hstsSubdomains,
  38.         bool $hstsPreload false,
  39.         array $allowList = [],
  40.         array $hosts = [],
  41.         int $redirectStatusCode 302
  42.     ) {
  43.         $this->hstsMaxAge $hstsMaxAge;
  44.         $this->hstsSubdomains $hstsSubdomains;
  45.         $this->hstsPreload $hstsPreload;
  46.         $this->allowList = [] !== $allowList '('.implode('|'$allowList).')' null;
  47.         $this->hosts = [] !== $hosts '('.implode('|'$hosts).')' null;
  48.         $this->redirectStatusCode $redirectStatusCode;
  49.     }
  51.     public function onKernelRequest(RequestEvent $e): void
  52.     {
  53.         if (!$this->isMainRequest($e)) {
  54.             return;
  55.         }
  57.         $request $e->getRequest();
  59.         // skip SSL & non-GET/HEAD requests
  60.         if ($request->isSecure() || !$request->isMethodSafe()) {
  61.             return;
  62.         }
  64.         // skip allowed URLs
  65.         if (null !== $this->allowList && === preg_match('{'.$this->allowList.'}i''' === $request->getPathInfo() ? '/' $request->getPathInfo())) {
  66.             return;
  67.         }
  69.         // skip non-listed hosts
  70.         if (null !== $this->hosts && !== preg_match('{'.$this->hosts.'}i''' === $request->getHost() ? '/' $request->getHost())) {
  71.             return;
  72.         }
  74.         // redirect the rest to SSL
  75.         $e->setResponse(new RedirectResponse('https://'.substr($request->getUri(), 7), $this->redirectStatusCode));
  76.     }
  78.     public function onKernelResponse(ResponseEvent $e): void
  79.     {
  80.         if (!$this->isMainRequest($e)) {
  81.             return;
  82.         }
  84.         // skip non-SSL requests as per the RFC
  85.         // "An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport."
  86.         $request $e->getRequest();
  87.         if (!$request->isSecure()) {
  88.             return;
  89.         }
  91.         $response $e->getResponse();
  93.         if (!$response->headers->has('Strict-Transport-Security')) {
  94.             $header 'max-age='.$this->hstsMaxAge;
  95.             $header .= ($this->hstsSubdomains '; includeSubDomains' '');
  96.             $header .= ($this->hstsPreload '; preload' '');
  97.             $response->headers->set('Strict-Transport-Security'$header);
  98.         }
  99.     }
  100. }