我有一个正在运行的 Node.JS 服务,我正在尝试从不同的系统进行连接。目前正在使用 POSTMAN 测试服务。 Postman 报错 - There was an error connecting to https://lddbbtx.wdf......./index.xsjs.
现在,我通过禁用 Postman 中的“SSL 认证验证”选项重试了请求,它似乎有效。我可以收到服务的响应。
但在生产中,我们将使用 Recast.AI 连接到此服务。在 Recast 中,它们提供了一种为 GET/POST 请求设置 header 的方法。所以,我想知道,有没有办法在请求的 header 中禁用 SSL 验证?
最佳答案
... is there a way to disable the SSL verification in the header of the request ?
服务器证书的验证在客户端完成。它在 TLS 握手期间完成,因此在发送任何 HTTP 请求之前完成。服务器不能触发禁用验证,否则中间人攻击者可以简单地指示受害者不要检查证书。
通常 - 禁用验证或什至部分验证(例如检查 URL 中的主机名是否与证书匹配)是一个非常糟糕的主意。在禁用证书验证的情况下,传输仍然是加密的,但客户端不会检查它是否实际与预期的服务器通信。通过这种方式,攻击者可以进行简单的中间人攻击来冒充服务器,从而嗅探并修改所有流量。
关于node.js - 如何为任何请求禁用 SSL 验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53736366/