Как настроить SSL с Laravel 5 за балансировщиком нагрузки (ssl_termination)?

Laravel не проверяет их по умолчанию, потому что эти заголовки могут быть тривиально введены в запрос (т.е. фальсифицированы), и это создает теоретический вектор атаки в вашем приложении. Злонамеренный пользователь может заставить Laravel считать запрос безопасным или нет, что, в свою очередь, может быть привести к чему-то скомпрометированному.

Когда я столкнулся с этой же проблемой несколько месяцев назад, используя Laravel 4.2, я решил создать собственный класс запросов и попросить Laravel использовать его

#File: bootstrap/start.php
//for custom secure behavior -- laravel autoloader doesn't seem here yet?
require_once realpath(__DIR__) . 'path/to/my/MyCustomRequest.php';

Illuminate\Foundation\Application::requestClass('MyCustomRequest');

а затем в MyCustomReuqestClassЯ расширил базовый класс запросов и добавил дополнительную логику is / is-not secure

class Request extends \Illuminate\Http\Request
{
/**
* Determine if the request is over HTTPS, or was sent over HTTPS
* via the load balancer
*
* @return bool
*/
public function secure()
{
$secure = parent::secure();
//extra custom logic to determine if something is, or is not, secure
//...
return $secure;
}

public function isSecure()
{

return $this->secure();
}
}

Я бы не стал делать это сейчас. После работы с фреймворком в течение нескольких месяцев я понял, что класс запросов Laravel имеет Класс запроса Symfony как родитель, то есть запрос Laravel наследует поведение объекта запроса Symfony.

Это означает, что вы можете указать Laravel, каким прокси-серверам следует доверять,

Request::setTrustedProxies(array(
'192.168.1.52' // IP address of your proxy server
));

Этот код сообщает Laravel, каким прокси-серверам он должен доверять. После этого он должен забрать стандартные заголовки «forwarded for». Вы можете прочитать больше об этой функции в Symfony документы.