Bonjour loutremaline,

J'ai fait un petit point sur Github concernant cette demande. Il existe en effet 2 pull-requests sur ce même sujet, voir https://github.com/Piwigo/Piwigo/pull/483 et https://github.com/Piwigo/Piwigo/pull/914

On a donc la solution technique pour que Piwigo se débrouille bien avec un reverse-proxy en HTTPS. Le débat est sur la manière de régler la question :

1) on adapte le code de la fonction get_absolute_root_url pour utiliser la variable serveur HTTP_X_FORWARDED_PROTO (comme on le fait pour HTTP_X_FORWARDED_HOST, ce qui serait cohérent)

2) l'administrateur ajoute les lignes qui vont bien dans la configuration locale, qui elles-même se basent sur HTTP_X_FORWARDED_PROTO

rvelices est favorable à la solution 2 (et je pense voudrait qu'on retire l'utilisation de HTTP_X_FORWARDED_HOST dans get_absolute_root_url, par cohérence). Sur Piwigo.com, qui fait du reverse-proxy avec du HTTPS, on a d'ailleurs géré ça en config.inc.php.

La question est pour moi : y'a-t-il un danger, d'un point de vue sécurité, à utiliser ces variables dans get_absolute_root_url ?

Bonjour,

Je reviens sur ce fil car je me suis à nouveau confronté au problème.
A nouveau car j'ai perdu ma correction lors des mises à jour de Piwigo, et ce sujet m'était sorti de la tête.

Mais cette fois ci, c'est pour deux autres usages que j'ai rencontré le problème :
- les liens présents dans le mail de notification ;
- les liens dans les résultats renvoyés par les API.

J'ai fait une rapide recherche sur le net mais n'ai pas trouvé mon bonheur : est-ce qu'un correctif a été intégré aux releases officielles ?

Cordialement.