republique-et-canton-de-geneve/response-headers-bundle
Composer 安装命令:
composer require republique-et-canton-de-geneve/response-headers-bundle
包简介
A Symfony bundle to easily send headers in your HTTP response
README 文档
README
A Symfony bundle to easily send headers in your HTTP response
For Symfony 6.4, 7.x, 8.x
Usage
You define one or more headers response in your yaml configuration, for exemple:
---
#config/packages/response_header.yml
response_headers:
headers:
X-XSS-Protection: value: 1; mode=block
Referrer-Policy: strict-origin
Content-Security-Policy:
- default-src 'none';
- script-src 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval';
- script-src-elem 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval';
- img-src 'self' data: localhost *.mydite.com;
X-Frame-Options:
value: SAMEORIGIN
condition: "'%env(APP_SERVER_TYPE)%' == 'local'"
replace: false
Expires:
value: 0
condition: request.getPathInfo() matches '^/admin'
...
Conditonal header
The conditional is made with symfony expression language, the available variables are:
response_headers:
headers:
X-Frame-Options:
value: SAMEORIGIN
condition: "'%env(APP_SERVER_TYPE)%' == 'local'"
The 'X-Frame-Option' header will be inclued in the HTTP response if the 'APP_SERVER_TYPE' environment variable is equal to 'local'.
%env(name)% : a value from environement
request: An instance of the class Symfony\Component\HttpFoundation\Request class
response: An instance of the class Symfony\Component\HttpFoundation\Response class
Example:
condition: request.getPathInfo() matches '^/admin'
condition: response.getStatusCode() == 200
Header values in array or scalar format
For very long headers, it is possible to use a table format. The header value will be reduced to a single line.
line format
response_headers:
headers:
Content-Security-Policy:
- default-src 'none';
- script-src 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval';
- img-src 'self' data: localhost *.mysite.com;
format: string
This is the default format
Result:
Content-Security-Policy: default-src 'none';script-src 'self' data: 'unsafe-inline';img-src 'self' data: localhost *.mysite.com
mutliple format
But it's possible to have one more than one HTTP header with the same name
response_headers:
headers:
Accept:
- application/json
- application/xml
format: array
Result:
Accept: application/json
Accept: application/xml
Installation
The bundle should be automatically enabled by Symfony Flex. If you don't use Flex, you'll need to enable it manually as explained in the docs.
composer config extra.symfony.allow-contrib true
composer require republique-et-canton-de-geneve/response-headers-bundle
License Released under the Apache-2.0 license
Quality and test code
Analyse du Bundle par Z.ai
Puisque nous partons du postulat que le code est déjà de très bonne qualité (niveau Senior, architecture classique et robuste Symfony), les améliorations possibles ne seront pas des corrections de bugs, mais des optimisations fines, des évolutions architecturales ou des améliorations de l'expérience développeur (DX).
Voici les axes d'amélioration que l'on pourrait appliquer à ce bundle pour le faire passer du statut de "très bon bundle institutionnel" à "bundle de référence absolue" :
1. Gestion fine de la stratégie de fusion (Merge Strategy)
C'est un point critique souvent négligé dans la gestion des headers. Si le bundle ajoute un header qui existe déjà (par exemple, mis par un autre bundle ou par le contrôleur), que fait-il ?
- Amélioration : Ajouter une option de configuration par header pour définir le comportement :
replace(écrase le header existant - comportement par défaut de Symfony)append(ajoute une valeur supplémentaire au header existant, par exemple pourVaryouCache-Control)skip_if_exists(ne fait rien si le header est déjà présent, très utile pour ne pas écraser une politique de sécurité spécifique définie dans un contrôleur).
2. Protection contre les sous-requêtes et optimisation
Dans Symfony, une requête principale génère souvent des sous-requêtes (fragments, ESI, etc.). Injecter des headers de sécurité (ex: X-Frame-Options) dans une sous-requête est inutile et coûteux.
- Amélioration : S'assurer que le code vérifie strictement
$event->isMainRequest()(anciennementisMasterRequest()dans les vieilles versions). - Optimisation : Ajouter un early return basé sur le
Content-Type. Si la réponse finale est une redirection (301/302), un fichier binaire (PDF, image) ou une réponse vide (204), injecter certains headers (comme le CSP lié au HTML) est inutile.
3. Ajouter des "Profils" ou Guards de sécurité intégrés
Plutôt que de laisser le développeur configurer chaque header manuellement, le bundle pourrait offrir des raccourcis pour les cas d'usage les plus courants de l'État.
- Amélioration : Créer un système de "profils" (ex:
security_profile: "strict") qui applique un bloc de headers d'un coup. - Exemple concret (Le piège du HSTS) : Le header
Strict-Transport-Security(HSTS) ne doit absolument pas être envoyé en HTTP, sous peine de bloquer l'utilisateur. Le bundle pourrait intégrer une intelligence qui dit : "Si le profil sécurité est actif, j'envoie HSTS uniquement si la requête initiale est en HTTPS". Cela évite une erreur de configuration fatale côté métier.
4. Évolution vers les attributs PHP 8 (Developer Experience)
Actuellement, la configuration est probablement 100% dans le yaml. Pour des headers très spécifiques à un seul contrôleur, cela alourdit le fichier de configuration.
- Amélioration : Proposer un attribut PHP 8 pour une déclaration locale.
#[AddResponseHeader(name: 'X-Custom-Header', value: 'SpecificValue')] public function myAction(): Response { ... }
Le bundle combinerait alors la configuration globale (YAML) et les configurations locales (Attributs), le local prenant la priorité.
5. Modernisation du typage (PHP 8.2 / 8.3)
Même si le code utilise les type hints, on peut pousser la modernité :
- Utilisation des Enums : Si le bundle a des options (comme la stratégie de fusion mentionnée au point 1), utiliser des PHP Enums (ex:
enum MergeStrategy: string { case Replace = 'replace'; ... }) au lieu de simples chaînes de caractères. Cela élimine les erreurs de frappe à la configuration. - Readonly Classes : Si des DTOs ou objets de configuration sont créés en interne, les déclarer en
readonly classpour garantir l'immuabilité.
6. Préparation à l'avenir : Compatibilité PSR-15 (Middleware)
L'Event Subscriber sur kernel.response fonctionne parfaitement avec le HttpKernel classique de Symfony. Cependant, l'écosystème PHP tend de plus en plus vers les Middlewares PSR-15 (notamment quand on utilise des runtimes comme Swoole, RoadRunner ou FrankenPHP).
- Amélioration (Long terme) : Proposer une implémentation alternative sous forme de Middleware PSR-15 pur, en plus du Event Subscriber, pour garantir que le bundle fonctionne dans des environnements "sans HttpKernel" (bien que cela soit rare dans l'écosystème Symfony pur, c'est un gage de modernité architecturale).
En résumé
Le bundle actuel fait très bien son métier de base. Les améliorations listées ci-dessus relèvent de l'ingénierie de précision (gestion des cas limites comme HTTP vs HTTPS, sous-requêtes) et de l'ergonomie avancée (Enums, Attributs). Ce sont des chantiers typiques de "Version 2.0" pour un bundle qui a fait ses preuves en "Version 1.x".
republique-et-canton-de-geneve/response-headers-bundle 适用场景与选型建议
republique-et-canton-de-geneve/response-headers-bundle 是一款 基于 PHP 开发的 Composer 扩展包,目前已累计 103 次下载、GitHub Stars 达 1, 最近一次更新时间为 2025 年 12 月 27 日, 在 PHP 生态内属于活跃度较高的组件。
它主要适用于以下技术方向: 「symfony」 「http」 「bundle」 「response」 「headers」 「header」 等业务场景。在实际项目中,围绕这些方向常见需要落地的问题包括:接口对接、性能调优、并发安全、与既有框架(Laravel / ThinkPHP / Yii / Webman 等)的兼容适配,以及生产环境的日志埋点与稳定性保障。
我们在过去多个企业项目中使用过 republique-et-canton-de-geneve/response-headers-bundle 或与其功能相近的方案,如果你在选型或落地过程中遇到问题,例如 版本兼容、二次改造、私有化封装、与内部系统对接、生产 BUG 排查,欢迎联系我们协助评估。
基于 republique-et-canton-de-geneve/response-headers-bundle 在你已有业务上做功能扩展、字段裁剪、UI 适配、与内部账号 / 权限 / 日志系统的深度对接。
线上偶发问题、内存泄漏、慢查询、并发异常等排查修复;针对高流量场景做缓存、队列、索引层面的调优。
承接完整的项目从需求 → 设计 → 开发 → 上线 → 长期运维;也可按月提供技术保姆服务。
与 republique-et-canton-de-geneve/response-headers-bundle 相关的其它包
同方向 / 同关键字的高下载量 PHP Composer 包推荐,方便对比选型:
repository php library
2lenet/EasyAdminPlusBundle
The bundle for easy using json-rpc api on your project
Provide a way to secure accesses to all routes of an symfony application.
DMS Meetup API Bundle, enables Meetup API clients in services
Bundle Symfony DaplosBundle
统计信息
- 总下载量: 103
- 月度下载量: 0
- 日度下载量: 0
- 收藏数: 1
- 点击次数: 19
- 依赖项目数: 0
- 推荐数: 0
其他信息
- 授权协议: Apache-2.0
- 更新时间: 2025-12-27