我正在尝试为我的服务用户解决问题https://jsonip.com。
上周我启用了所有 http 到 https 连接的强制 301 重定向。
我现在试图帮助的用户依赖于他的公司代理将其内部 IP 添加到 x-forward-for 标头中。现在所有连接都被强制使用 https,它只提供他的公开 IP。
我认为他的公司代理没有在 https 连接中插入自己的证书,因此无法检查连接并使用代理 IP 插入/更新 x-forward-for 标头。
如果是这样,这对员工的个人隐私有好处(老板无法拦截网络流量),但另一方面会干扰用户使用 jsonip.com 的方式。
有人可以确认/否认我的假设是否合理吗?
答案1
当浏览器使用代理时,将使用 CONNECT 方法创建与远程网站的直接连接。此连接使用 SSL/TLS 协议,浏览器将直接与远程网站进行通信,且不会进行任何更改。代理不会篡改请求标头和响应标头或通信的任何部分。
内部 IP 地址被视为敏感信息,因此代理首先不应发送这些信息。出于安全原因,投诉的客户端应使用与您的服务器提供的服务类似的本地服务。
另一方面,如果您的服务接收或发送没有身份验证或其他敏感数据,我不明白为什么您不应该提供未加密的服务。
能够解密和更改流量的代理的唯一方法是代理创建由 Web 浏览器信任的 CA 签名的按需证书。我希望在非常受控的环境中看到这一点。请参阅本文和技术对应方作为此类代理的示例。