vendor/nelmio/security-bundle/src/EventListener/ForcedSslListener.php line 49

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of the Nelmio SecurityBundle.
  7.  *
  8.  * (c) Nelmio <hello@nelm.io>
  9.  *
  10.  * For the full copyright and license information, please view the LICENSE
  11.  * file that was distributed with this source code.
  12.  */
  14. namespace Nelmio\SecurityBundle\EventListener;
  16. use Symfony\Component\HttpFoundation\RedirectResponse;
  17. use Symfony\Component\HttpKernel\Event\RequestEvent;
  18. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  20. final class ForcedSslListener
  21. {
  22.     private ?int $hstsMaxAge;
  23.     private bool $hstsSubdomains;
  24.     private bool $hstsPreload;
  25.     private ?string $allowList;
  26.     private ?string $hosts;
  27.     private int $redirectStatusCode;
  29.     /**
  30.      * @param list<string> $allowList
  31.      * @param list<string> $hosts
  32.      */
  33.     public function __construct(
  34.         ?int $hstsMaxAge,
  35.         bool $hstsSubdomains,
  36.         bool $hstsPreload false,
  37.         array $allowList = [],
  38.         array $hosts = [],
  39.         int $redirectStatusCode 302
  40.     ) {
  41.         $this->hstsMaxAge $hstsMaxAge;
  42.         $this->hstsSubdomains $hstsSubdomains;
  43.         $this->hstsPreload $hstsPreload;
  44.         $this->allowList = [] !== $allowList '('.implode('|'$allowList).')' null;
  45.         $this->hosts = [] !== $hosts '('.implode('|'$hosts).')' null;
  46.         $this->redirectStatusCode $redirectStatusCode;
  47.     }
  49.     public function onKernelRequest(RequestEvent $e): void
  50.     {
  51.         if (!$e->isMainRequest()) {
  52.             return;
  53.         }
  55.         $request $e->getRequest();
  57.         // skip SSL & non-GET/HEAD requests
  58.         if ($request->isSecure() || !$request->isMethodSafe()) {
  59.             return;
  60.         }
  62.         // skip allowed URLs
  63.         if (null !== $this->allowList && === preg_match('{'.$this->allowList.'}i''' === $request->getPathInfo() ? '/' $request->getPathInfo())) {
  64.             return;
  65.         }
  67.         // skip non-listed hosts
  68.         if (null !== $this->hosts && !== preg_match('{'.$this->hosts.'}i''' === $request->getHost() ? '/' $request->getHost())) {
  69.             return;
  70.         }
  72.         // redirect the rest to SSL
  73.         $e->setResponse(new RedirectResponse('https://'.substr($request->getUri(), 7), $this->redirectStatusCode));
  74.     }
  76.     public function onKernelResponse(ResponseEvent $e): void
  77.     {
  78.         if (!$e->isMainRequest()) {
  79.             return;
  80.         }
  82.         // skip non-SSL requests as per the RFC
  83.         // "An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport."
  84.         $request $e->getRequest();
  85.         if (!$request->isSecure()) {
  86.             return;
  87.         }
  89.         $response $e->getResponse();
  91.         if (!$response->headers->has('Strict-Transport-Security')) {
  92.             $header 'max-age='.$this->hstsMaxAge;
  93.             $header .= ($this->hstsSubdomains '; includeSubDomains' '');
  94.             $header .= ($this->hstsPreload '; preload' '');
  95.             $response->headers->set('Strict-Transport-Security'$header);
  96.         }
  97.     }
  98. }