Laravel如何配置Https访问_Laravel 强制跳转Https设置【方案】

尼克

发布时间：2026-02-09 12:10:03

501人浏览过

来源于php中文网

原创

必须由 Web 服务器终止 HTTPS 并设置 X-Forwarded-Proto 头，Laravel 通过 TrustProxies 中间件信任对应代理 IP 后，才能正确生成 HTTPS 链接、判断安全请求；APP_URL 必须设为 https://，且本地开发需隔离配置。

laravel如何配置https访问_laravel 强制跳转https设置【方案】

直接在 Laravel 中配置 HTTPS 访问，不能只靠应用层「强制跳转」，否则会丢请求头、触发循环重定向、或让 API 请求异常。真正可靠的方式是：由 Web 服务器（Nginx / Apache）终止 HTTPS，并通过可信代理头告知 Laravel 当前是 HTTPS 请求；Laravel 再据此生成正确 URL 和重定向逻辑。

Web 服务器必须设置 X-Forwarded-Proto

这是整个方案的前提。Laravel 默认不信任任何代理头，如果你用 Nginx 反代 HTTPS 流量但没传 X-Forwarded-Proto，url()、route() 仍会生成 http:// 链接，Request::secure() 也返回 false。

常见错误现象：redirect()->route('home') 跳到 http:// 地址，登录后回跳失败；邮件中的链接是 http；API 返回的资源 URL 不可用。

实操建议：

触站AI

专业的中文版AI绘画生成平台

下载

Nginx 配置中，在 proxy_pass 块里加上：proxy_set_header X-Forwarded-Proto $scheme;
如果用 Cloudflare、AWS ALB 等，它们默认已设该头，但需确认未被中间层覆盖
Apache 用户需启用 mod_headers，并在 VirtualHost 中加：RequestHeader set X-Forwarded-Proto "https" env=HTTPS

AppServiceProvider 中启用 Trusted Proxies

Laravel 必须明确知道哪些 IP 是可信反代，否则会忽略 X-Forwarded-Proto。从 Laravel 5.5+ 开始，App\Http\Middleware\TrustProxies 是默认启用的中间件，但它的 $proxies 默认是 '*' —— 这在生产环境不安全，且某些云环境（如 Forge + Nginx）下会导致 Request::ip() 失效。

实操建议：

在 app/Http/Middleware/TrustProxies.php 中，将 $proxies 设为具体 IP 段，例如：protected $proxies = ['127.0.0.1', '10.0.0.0/8'];
若部署在 AWS EC2 + ALB，填 ALB 的私有 IP 段（如 10.0.0.0/16）；用 Forge 时通常只需 127.0.0.1
同时确认 $headers 包含 Illuminate\Http\Request::HEADER_X_FORWARDED_PROTO（默认已有）

不要在中间件里用 redirect()->secure()

有人写一个中间件，对非 HTTPS 请求执行 redirect()->secure()，这看似简单，实则危险：它会在每次请求都做 301/302 跳转，无法区分静态资源、API 或 CLI 调用；且当代理头未正确设置时，会陷入无限跳转（ERR_TOO_MANY_REDIRECTS）。

实操建议：

完全避免手写 redirect()->secure() 类逻辑
如果必须在应用层控制（极少数遗留架构），至少加条件：if (!$request->secure() && !$request->ajax() && 'GET' === $request->method())
更推荐的做法：把 HTTPS 强制逻辑交给 Nginx，例如在 server 块中加：return 301 https://$host$request_uri;