我正在尝试为我的服务https://jsonip.com的用户排查问题。
上周我启用了强制301redirect所有http到https连接。
我现在试图帮助的用户是依靠他的公司代理将其内部IP添加到x-forward-for标头中。 现在所有的连接都被强制为https,它只提供他公开的IP。
我在考虑他的公司代理没有在https连接中插入自己的证书,因此无法检查连接,并使用代理IP插入/更新x-forward-for标头。
如果是这样,这对员工的个人隐私(老板不能拦截networkingstream量)是有利的,但是否则会干扰用户如何使用jsonip.com。
任何人都可以证实/否认,如果我的假设是有道理的?
当浏览器使用代理时,将使用CONNECT方法创build与远程网站的直接连接。 此连接使用SSL / TLS协议,浏览器将直接进行通信,且不会与远程网站发生任何变化。 请求头和响应头或通信的任何部分都不会被代理篡改。
内部IP地址被视为敏感信息,不应该由代理首先发送。 出于安全原因,抱怨的客户端应使用类似于服务器提供的本地服务。
另一方面,如果没有您的服务收到或发送的身份validation或其他敏感数据,我不明白为什么您不应该提供未encryption的服务。
能够拥有解密和更改stream量的代理服务器的唯一方法是按需创build由Web浏览器信任的CA签名的证书。 我期望在非常受控制的环境中看到这些东西。 看到这篇文章和技术对应的代理例子。