先写一段废话热身
虽然提到了中间人攻击,但这不是一篇安全类文章,要通过中间人修改https内容,必须客户端信任中间人提供的证书。
我做这么一个工作,最原始的需求,是为了解决公司内网环境下 npm 包安装的问题,简单点讲,就是切换仓库和依赖镜像源。常用的 cnpm 也提供镜像功能,也能解决包依赖的硬编码地址问题,但是不支持 lockfile, 也不支持 URLs as Dependencies 方式定义的package。最后决定采用代理的方式,用内网资源去响应外网请求。
整个过程,真的充分感受到了修改 https 请求的不易,毕竟 https 的诞生就是为了防止内容盗取、篡改的。
http请求的代理实现没那么多幺蛾子,就先略了...
效果演示
我在本地启动了一个代理服务器,并注入了一些配置,将对 www.google.com.hk 的访问重定向到了我在本机运行的一个 https 服务器。
这里的演示,用的url替换的方式,这部分属于具体的业务逻辑,后文的最终实现为简化版,虽然效果一样~
背景知识
在实现代理服务之前,可以简单了解一下 https 服务的证书认证过程以及代理是怎么工作的。
证书:CA证书 与 域名证书
一个正常 https 服务器的搭建时,我们需要去证书机构申请一个域名证书,这里机构必须是可信的。证书的信任过程是基于信任链的,如果电脑信任了CA, 也就信任了有CA证书签发的域名证书。
所以涉及两个认证:
- 机构认证,对应的就是 CA 证书,在系统里预置了
- 域名证书,用CA证书给域名证书签名,得到一个域名证书
你可以自己生成一个CA证书,用来签各种域名,也就是自签名证书。自签名证书是不能通过验证的,你需要让客户端信任你的CA。
Proxy 与 直接访问
http(s) 的 代理与普通请求有什么区别?客户端是如何告知代理目标服务器的地址的?我从别人文章里截了个图:
功能实现
一个简单的隧道代理
图片版
文字版
- 建立 https 服务器作为代理服务器
- 监听 connect 事件,获取目标服务器地址、端口、ClientSocket
- 与目标服务器建立连接, 得到TargetSocket,并通知客户端连接建立成功
- 将 ClientSocket 与 TargetSocket 的数据流互相转发
代码版
/** 仅摘取部分核心代码,无法直接运行 **/
const https = require('https');
const fs = require('fs');
const forge = require('node-forge');
const net = require('net');
function connect(clientRequest, clientSocket, head) {
const protocol = clientRequest.connection?.encrypted ? 'https:' : 'http:';
const { port =