两种Https正向代理的实现原理
正向代理 HTTPS 主要有两种方案,分别是基于证书的解密与再加密方案和基于 HTTP CONNECT 隧道的方案,以下是这两种方案的具体信息:
一、基于证书的解密与再加密方案
原理
- 工作原理:代理服务器拥有自己的证书,客户端需要信任该证书。当客户端通过代理服务器访问目标网站时,代理服务器会使用自己的证书与客户端建立加密连接,同时与目标服务器建立另一个加密连接,然后对客户端和目标服务器之间的数据进行解密和再加密,从而实现对 HTTPS 流量的代理。
- 优缺点:
- 优点:代理服务器可以解析出请求和响应内容,便于进行内容过滤、监控和缓存等功能。
- 缺点:需要客户端信任代理服务器的证书,配置相对复杂,且存在一定的安全风险,因为代理服务器可以查看和修改加密数据。
- 适用场景:适用于需要对 HTTPS 流量进行深度解析和控制的场景,如企业内部的网络安全管理、内容过滤等。
常见应用与场景举例
- 企业安全网关 / 防火墙:
- 场景: 大型企业内网出口。
- 用途:
- 深度检测恶意软件、勒索软件(检查文件下载内容)。
- 防止数据泄露(DLP - 监控信用卡号、机密文件上传)。
- 过滤非法/违规内容(如色情、赌博网站)。
- 实施精细化上网策略(基于内容类别而非仅域名)。
- 举例: 员工访问
https://drive.google.com时,代理解密并扫描上传的文件是否含公司机密。
- 合规性审计:
- 场景: 金融、医疗等强监管行业。
- 用途:
- 记录所有进出流量以满足法规要求(如 GDPR、HIPAA 日志审计)。
- 监控员工行为是否符合公司政策。
- 举例: 银行记录员工通过企业微信发送的所有文件,确保无客户数据违规外泄。
- 内容优化与加速:
- 场景: 学校、大型机构网络。
- 用途:
- 缓存 HTTPS 内容(如软件更新、视频资源)。
- 压缩传输数据节省带宽。
- 屏蔽广告或恶意脚本。
- 举例: 校园网代理缓存
https://windowsupdate.com的更新文件,减少外网带宽消耗
二、基于 HTTP CONNECT 隧道的方案
原理
- 工作原理:代理服务器不涉及对加密数据的解密和再加密,而是通过 HTTP CONNECT 方法为客户端和目标服务器建立一个 TCP 隧道。客户端通过代理服务器与目标服务器建立连接后,数据直接在客户端和目标服务器之间传输,代理服务器只起到转发的作用。
- 优缺点:
- 优点:不需要客户端信任代理服务器的证书,配置相对简单,安全性较高,因为代理服务器无法查看和修改加密数据。
- 缺点:代理服务器无法解析 HTTPS 流量的内容,无法实现内容过滤和监控等功能。
- 适用场景:适用于只需要代理服务器帮忙建立连接,而不对 HTTPS 流量进行深度解析的场景,如简单的网络访问代理等。
常见应用与场景举例
- 企业安全出站控制(基础层):
- 场景: 公司或学校网络。
- 用途:
- 基于域名/IP 实施访问控制(如禁止访问
facebook.com)。 - 仅记录访问的域名(不记录具体内容)。
- 防止内部主机直接暴露公网 IP。
- 基于域名/IP 实施访问控制(如禁止访问
- 举例: 员工通过代理访问
https://online.visa.com支付账单,代理仅知道访问了online.visa.com,无法看到卡号。
- 绕过网络限制:
- 场景: 受防火墙限制的环境(如办公室、学校)。
- 用途:
- 通过外部代理访问被封锁的服务(如 GitHub、Google)。
- 不触发深度检测(因内容未解密)。
- 举例: 开发者在企业网内配置 VS Code 使用
CONNECT代理连接https://api.github.com,绕过企业防火墙对代码仓库的封锁。
- 移动设备安全接入:
- 场景: 企业 BYOD(自带设备)或 MDM(移动设备管理)。
- 用途:
- 在不安装企业根证书的前提下,强制流量经过企业代理。
- 保护企业数据(隔离内网与外网流量)。
- 举例: 员工的个人手机通过企业 Wi-Fi 上网时,所有
CONNECT流量经代理过滤,阻止访问恶意域名。
- 开发者调试工具:
- 场景: 本地开发环境(如 Charles Proxy、Fiddler)。
- 用途:
- 默认以
CONNECT模式工作,除非用户显式启用 HTTPS 解密。 - 查看加密流量的元数据(域名、IP、连接时间)。
- 默认以
- 举例: 开发者使用 Charles Proxy 调试 App,仅监控 API 请求的域名和响应大小,无需导入证书解密内容。
相关文章:
两种Https正向代理的实现原理
正向代理 HTTPS 主要有两种方案,分别是基于证书的解密与再加密方案和基于 HTTP CONNECT 隧道的方案,以下是这两种方案的具体信息: 一、基于证书的解密与再加密方案 原理 工作原理:代理服务器拥有自己的证书,客户端需…...
第18节 Node.js Web 模块
什么是 Web 服务器? Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序。 Web服务器的基本功能就是提供Web信息浏览服务。它只需支持HTTP协议、HTML文档格式及URL,与客户端的网络浏览器配合。 大多数web服务器都支持服务…...
网络爬虫一课一得
网页爬虫(Web Crawler)是一种自动化程序,通过模拟人类浏览行为,从互联网上抓取、解析和存储网页数据。其核心作用是高效获取并结构化网络信息,为后续分析和应用提供数据基础。以下是其详细作用和用途方向: …...
LeetCode--24.两两交换链表中的结点
解题思路: 1.获取信息: 给了一个链表,要求两两一组地交换位置 限定条件:只能进行结点交换,不能修改结点内部的值 额外条件:结点数在0-100的范围,闭区间 2.分析题目:…...
嵌入式SDK技术EasyRTC音视频实时通话助力即时通信社交/教育等多场景创新应用
一、引言 在数字化时代,即时通信已成为人们生活和工作中不可或缺的部分。音视频功能作为即时通信的核心,能实现更加直观、高效的信息传递。EasyRTC作为一款强大的实时通信框架,具备诸多优势,为即时通信的音视频应用提供了优质解…...
IDEA集成JRebel插件,实现实时热部署
系列文章目录 文章目录 系列文章目录一、JRebel是什么?1.1、对比传统开发流程1.2、JRebel特性以及优势 二、IDEA集成JRebel三、IDEA以JRebel运行报错处理四、IDEA以JRebel运行演示实时热部署 一、JRebel是什么? JRebel 是一款针对 Java 开发的热部署工具…...
1-3 Linux-虚拟机(2025.6.7学习篇- mac版本)
1、VMware Fusion下载 在windows系统中使用的VMwareWorkStation未提供Mac版,Mac系统可以使用VMwareFusionPro FusionPro和WorkstationPro均是VMware公司出品,完全兼容,体验基本是一致的。 下载地址:https://www.vmware.com/cn/pro…...
如何打造一款金融推理工具Financial Reasoning Workflow:WebUI+Ollama+Fin-R1+MCP/RAG
在之前的文章中,我探讨了如何使用具身人工智能,让大语言模型智能体来模仿[当今著名对冲基金经理的投资策略]。 在本文中,我将探讨另一种方法,该方法结合了经过金融推理训练的特定大语言模型(LLM)࿰…...
才生效的原因)
mybatis的if判断==‘1‘不生效,改成‘1‘.toString()才生效的原因
mybatis的xml文件中的if判断‘1’不生效,改成’1’.toString()才生效 Mapper接口传入的参数 List<Table> queryList(Param("state") String state);xml内容 <where><if test"state ! null and state 1">AND EXISTS(select…...
【试卷篇】Spring面试试卷题
一、选择题 1. 下面关于AOP的说法错误的是( C)。 A.AOP将散落在系统中的“方面”代码集中实现 B.AOP有助于提高系统的可维护性 C.AOP已经表现出了将要替代面向对象的趋势 D.AOP是一种设计模式,…...
通过阿里云 DashScope API 调用通义千问
获取API Key 百炼控制台https://bailian.console.aliyun.com/?tabmodel#/api-key 步骤 1:安装 DashScope SDK pip install dashscope 步骤 2:LangChain 调用 from langchain_community.llms import Tongyi# 设置阿里云 API Key(从环境变…...
Go 中 map 的双值检测写法详解
Go 中 map 的双值检测写法详解 在 Go 中,if char, exists : pairs[s[i]]; exists { 是一种利用 Go 语言特性编写的优雅条件语句,用于检测 map 中是否存在某个键。让我们分解解释这种写法: 语法结构解析 if value, ok : mapVariable[key]; …...
大故障:阿里云核心域名爆炸了
大故障:阿里云核心域名被拖走了 今天早上许多群里出现网站故障的讨论,比如 cnblogs 全国访问一片红,一看原来是阿里云又出故障了。 今天早上许多群里出现网站故障的讨论,比如 cnblogs 全国访问一片红,一看原来是阿里云…...
解决Zotero翻译插件Zotero PDF Translate无法正常翻译
试了很多方法了,不管怎么样还是报错,找到最简单的解决办法,把翻译引擎改成CNJI学术翻译就可以了。 不能用的原因是google 翻译API 无法调用。...
【Latex】Windows/Ubuntu 绘制 eps 矢量图通用方法(drawio),支持插入 Latex 数学公式
一直感觉 Visio 或者 PPT 中 Mathtype 对 latex 公式渲染效果不好,且在 Ubuntu 下的支持不好,最近重新调研发现一个好用的工具 drawio。 在线使用 https://app.diagrams.net/?srcabout 也有桌面版的应用,Windows 就下载 exe 安装器&#x…...
库)
Vue---vue使用AOS(滚动动画)库
AOS介绍 aos.js是一个轻量级的动画库插件,可以简单的实现页面滚动触发动画效果,可以让我们网页看起来更加生动(高大上) 官网演示地址:aos.js 安装 YARN, NPM, BOWER安装 yarn add aos npm install aos --save bower install aos --save CDN引入 <link href"https…...
. 强制类型转换)
十(1). 强制类型转换
继第十部分C强制类型转换的四种方式,再进行强化巩固一下知识点 static_cast 最常用的,在指针之间做转换 const_cast 去除常量属性 dynamic_cast 用在基类和派生类之间的转换 reinterpret_cast 在任意类型之间进行转 10.1 static_cast 常见的使用场景&am…...
从npm库 Vue 组件到独立SDK:打包与 CDN 引入的最佳实践
文章目录 前言一、 原始方案:直接发布 npm 组件二、升级为独立 SDK:支持 CDN 引入三、核心要点总结1. 独立 Vue 实例2. 动态渲染组件3. 手动挂载到 DOM4. 与用户环境的关系 前言 近期在项目中引入了一个支持多格式(PDF、Video、Word等&#…...
rknn优化教程(一)
文章目录 1. 前述2. 优化思想2.1 实时帧率2.2 多线程处理2.2.1 排序2.2.2 批量处理2.2.3 队列 2.3 进一步优化 3. 代码 1. 前述 OK,铺垫了很久的rknn优化,终于开始写了。为什么要优化呢?当然是我们的使用遇到了瓶颈,要么使用的时…...
uniapp Vue2 获取电量的独家方法:绕过官方插件限制
在使用 uniapp 进行跨平台应用开发时,获取设备电量信息是一个常见的需求。然而,uniapp 官方提供的uni.getBatteryInfo方法存在一定的局限性,它不仅需要下载插件,而且目前仅支持 Vue3,这让使用 Vue2 进行开发的开发者陷…...
【统计方法】树模型,ensemble,bagging, boosting
决策树基础 回归树 理论上,决策区域可以有任何形状。• 然而,我们选择将预测空间划分为高维矩形或框,这是为了简单和易于解释结果预测模型 目标:将预测空间划分为矩形区域,最小化残差平方和(RSS&#x…...
【选配电脑】CPU核显工作机控制预算5000
【选配电脑】CPU核显工作机控制预算5000 1.背景2.配置及估价3.选配的说明 1.背景 不需要独立显卡,内存,硬盘尽量大; 预算控制到5000, 主板型号,电源功率支持后续添加独立显卡。 时间节点:2025.06.07 2.配…...
Mysql 插入中文乱码
session范围 查看数据库编码: show variables like %char%; # MySQL 5.7 字符集强制配置 # 修复 character_set_databaselatin1 等问题 [mysqld] character-set-server utf8mb4 collation-server utf8mb4_unicode_ci init_connect SET NAMES utf8mb4[client] d…...
UserAgent包名识别工具
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 背景具体实现 背景 为了更准确地分析用户下单行为的来源渠道,并实现精细化运营与风险控制,我们希望在用户下单时,能够通过请求中…...
96.如何使用C#实现串口发送? C#例子
Nuget包名称 System.IO.Ports 参考代码 using System; using System.IO.Ports; using System.Threading;namespace test {class Program{static void Main(){SerialPort port new SerialPort("COM1", 9600); // 配置串口port.Open();Timer timer new Timer((_) &…...
【工具使用】STM32CubeMX-FreeRTOS操作系统-信号标志、互斥锁、信号量篇
一、概述 无论是新手还是大佬,基于STM32单片机的开发,使用STM32CubeMX都是可以极大提升开发效率的,并且其界面化的开发,也大大降低了新手对STM32单片机的开发门槛。 本文主要讲述STM32芯片FreeRTOS信号标志、互斥锁和信号…...
[P2P]并发模式
设备可以同时作为 P2P Client 监听其他P2P请求,需要硬件和驱动支持。 //某些高级Wi-Fi芯片(如高通、博通)支持 Concurrent Mode(并发模式 GO 如果GO已经有一个client,大多数支持接受新的P2P Discovery。默认情况下会…...
Cloudflare 免费域名邮箱 支持 Catch-all 无限别名收件
本文首发于只抄博客,欢迎点击原文链接了解更多内容。 前言 与自建 Poste.io 还有 Serv00 邮局不同,Cloudflare 的域名邮箱并不需要 VPS,也没有复杂的配置。只要有一个托管在 Cloudflare 的域名就可以部署,像是常见的免费域名 eu.org 或者 dpdns.org 都是可以使用的。 需要…...
大数据Spark(六十一):Spark基于Standalone提交任务流程
文章目录 Spark基于Standalone提交任务流程 一、Standalone-Client模式 1、提交命令 2、任务执行流程 二、Standalone-Cluster模式 1、提交命令 2、任务执行流程 Spark基于Standalone提交任务流程 在Standalone模式下,Spark的任务提交根据Driver程序运行的位…...
学习记录:DAY32
Electron 开发之旅:从入门到实践 前言 接续上一篇 blog,这篇的内容主要和 Electron 有关。 课设不是特别想做下去了,实际核心代码大概只有 3,4 百行左右,比较水…… 或许会把 Docker 的部署也做一做(权当是…...