解决EC2上PHP应用“表单提交来源非预期站点”错误：HTTPS配置指南

在将php应用程序迁移至aws ec2时，若遇到“the form submitted did not originate from the expected site”错误，这通常是由于应用程序的csrf保护机制或安全cookie设置在http环境下被触发。本文将详细阐述此错误的原因，并提供将应用环境从http升级至https的解决方案，包括在ec2上配置ssl/tls证书及相关设置，以确保表单提交的安全性和应用的正常运行。

理解“表单提交来源非预期站点”错误

当PHP应用程序（特别是基于Zend等现代框架构建的应用）在AWS EC2上运行时，如果出现“The form submitted did not originate from the expected site”错误，这通常表明应用程序内置的安全机制被触发。此错误的核心原因通常与以下两点相关：

1. 跨站请求伪造 (CSRF) 保护机制：为了防止CSRF攻击，许多Web框架会在表单中嵌入一个隐藏的令牌（CSRF Token），并在提交时验证该令牌的有效性及来源。如果请求的来源（Origin）与预期不符，或者会话信息（如Cookie）在不安全的连接中被篡改或丢失，就可能导致验证失败。
2. 安全Cookie (Secure Flag)：当应用程序在HTTPS环境下设置了带有Secure标志的Cookie时，这些Cookie只会在加密连接中发送。如果在迁移后，应用程序仍然尝试通过HTTP访问，那么这些带有Secure标志的Cookie将不会被浏览器发送，导致会话信息丢失或不完整，进而影响CSRF令牌的验证。

在AWS EC2环境下，尤其是在从本地开发环境迁移到云端时，很容易忽略HTTP到HTTPS的协议切换，从而引发此类安全错误。

解决方案核心：启用HTTPS

解决此问题的最直接且推荐的方法是为您的应用程序启用HTTPS。HTTPS通过SSL/TLS协议加密客户端与服务器之间的通信，确保数据传输的机密性和完整性，同时满足应用程序对安全Cookie和CSRF保护的严格要求。

在AWS EC2上配置HTTPS的常用方法

在AWS EC2上启用HTTPS主要有两种策略：通过负载均衡器（推荐）或直接在EC2实例上配置。

立即学习“PHP免费学习笔记（深入）”；

1. 使用AWS Application Load Balancer (ALB) 或 Network Load Balancer (NLB) (推荐)

这是生产环境中实现HTTPS的最佳实践。ALB/NLB可以处理SSL/TLS终止，将加密流量解密后以HTTP协议转发到后端EC2实例，从而减轻EC2实例的计算负担。

步骤概述：

1. 获取SSL/TLS证书：
   • AWS Certificate Manager (ACM)：最简便的方式是使用ACM来免费预置和管理SSL/TLS证书。ACM证书可以与ALB/NLB无缝集成，并自动续期。
   • 第三方证书：如果您已有其他来源的证书，可以将其导入ACM。
2. 创建Application Load Balancer (ALB)：
   • 在AWS EC2控制台导航到“负载均衡器”，点击“创建负载均衡器”，选择“Application Load Balancer”。
   • 配置监听器：添加两个监听器：
     • 一个监听器配置为HTTP:80，用于将所有HTTP请求重定向到HTTPS。
     • 另一个监听器配置为HTTPS:443，并选择您在ACM中预置或导入的SSL/TLS证书。
   • 配置目标组：创建一个目标组，将您的PHP应用程序所在的EC2实例添加到该目标组中。确保目标组的协议设置为HTTP，端口为80（或您的PHP应用监听的端口），因为ALB会处理SSL终止。
   • 配置路由规则：
     • 对于HTTPS:443监听器，添加规则将流量转发到您的目标组。
     • 对于HTTP:80监听器，添加规则将所有请求重定向到HTTPS://#{host}:443/#{path}?#{query}。
3. 更新DNS记录：将您的域名CNAME记录指向ALB的DNS名称。

ALB监听器重定向示例（伪代码）：

# HTTP:80 监听器规则
IF Host is any AND Path is any
THEN Redirect to HTTPS://#{host}:443/#{path}?#{query} with HTTP_CODE 301

2. 直接在EC2实例上配置SSL/TLS (适用于小型应用或开发环境)

如果您没有使用负载均衡器，也可以直接在EC2实例上配置Web服务器（如Apache HTTP Server或Nginx）来处理SSL/TLS。

步骤概述（以Apache HTTP Server为例）：

1. 获取SSL/TLS证书：

   • Let's Encrypt (Certbot)：这是免费且自动化的获取证书的流行方式。

     sudo yum install -y epel-release # RHEL/CentOS
     sudo dnf install -y epel-release # Fedora
     sudo apt-get install -y certbot python3-certbot-apache # Debian/Ubuntu
     sudo certbot --apache -d your_domain.com -d www.your_domain.com

     Certbot会自动修改Apache配置并设置证书自动续期。

     

     boardmix博思白板

     boardmix博思白板，一个点燃团队协作和激发创意的空间，集aigc，一键PPT，思维导图，笔记文档多种创意表达能力于一体，将团队工作效率提升到新的层次。

     下载
   • 购买商业证书：购买后，您会收到证书文件（.crt）、私钥文件（.key）和中间证书文件（.pem或.crt）。

2. 配置Apache HTTP Server：

   • 确保已安装mod_ssl模块：

     sudo yum install -y mod_ssl # RHEL/CentOS
     sudo a2enmod ssl # Debian/Ubuntu

   • 编辑Apache的SSL配置文件，通常位于/etc/httpd/conf.d/ssl.conf (RHEL/CentOS) 或 /etc/apache2/sites-available/default-ssl.conf (Debian/Ubuntu)。

   • 在VirtualHost *:443块中配置证书路径：

     
         ServerName your_domain.com
         DocumentRoot /var/www/html/your_app_root
     
         SSLEngine on
         SSLCertificateFile /etc/letsencrypt/live/your_domain.com/fullchain.pem
         SSLCertificateKeyFile /etc/letsencrypt/live/your_domain.com/privkey.pem
         # SSLCertificateChainFile /path/to/intermediate_certificate.crt # 如果有中间证书
     
         # 强制所有HTTP请求重定向到HTTPS
         RewriteEngine On
         RewriteCond %{HTTPS} off
         RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
     
         ErrorLog /var/log/httpd/your_app_ssl_error.log
         CustomLog /var/log/httpd/your_app_ssl_access.log combined
     
     
     # 可选：配置HTTP到HTTPS的重定向
     
         ServerName your_domain.com
         RewriteEngine On
         RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
     

3. 重启Apache：

   sudo systemctl restart httpd # RHEL/CentOS
   sudo systemctl restart apache2 # Debian/Ubuntu

4. 配置安全组：确保EC2实例的安全组允许来自TCP:443端口的入站流量。

应用程序层面的调整

即使配置了Web服务器或负载均衡器，有时PHP应用程序内部也可能需要一些调整来正确识别HTTPS连接。

1. 框架配置：检查您的PHP框架（如Zend Framework）的配置文件，确保其基础URL或环境配置指向HTTPS。例如，可能需要设置baseUrl为https://your_domain.com。
2. $_SERVER变量：在某些情况下，如果负载均衡器终止了SSL，后端EC2实例收到的请求协议仍是HTTP。ALB通常会添加X-Forwarded-Proto头来指示原始请求的协议。您的应用程序可能需要检查此头：

   if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
       // 请求是HTTPS
   } elseif (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on') {
       // 请求是HTTPS
   } else {
       // 请求是HTTP
   }

   许多框架会自动处理这些代理头，但如果遇到问题，值得检查。

总结与注意事项

将PHP应用程序迁移到AWS EC2并解决“表单提交来源非预期站点”错误，核心在于确保应用程序在安全的HTTPS环境中运行。无论是通过AWS负载均衡器还是直接在EC2实例上配置SSL/TLS，启用HTTPS不仅能解决此特定错误，还能显著提升应用程序的整体安全性。

关键点回顾：

• 此错误通常与CSRF保护和安全Cookie在HTTP环境下失效有关。
• 推荐方案：使用AWS ALB/NLB与ACM集成，实现SSL/TLS终止和HTTP到HTTPS的重定向。
• 备选方案：直接在EC2实例的Web服务器（如Apache）上配置SSL/TLS，可使用Let's Encrypt免费证书。
• 确保EC2安全组允许HTTPS（443端口）流量。
• 检查应用程序的配置，确保其正确识别HTTPS协议。

通过遵循上述步骤，您的PHP应用程序将能在AWS EC2上安全稳定地运行，避免因协议不匹配导致的安全问题。