使用域名指向nginx服务来代理https,nginx可以通过分析clienthello中的server_name字段得到访问域名,然后通过解析域名地址来进行代理。
成都创新互联公司坚持“要么做到,要么别承诺”的工作理念,服务领域包括:
成都网站建设、网站制作、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的
岳阳楼网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
这里有几个问题,第一个是低版本的ie浏览器,使用的是低版本的tls,没有这个字段,无法得到域名,不过现在使用低版本IE的越来越少了,可以忽略。
第二个是苹果的某些系统应用,填写的域名不是真正的域名,不过有迹可循,可以通过字符串修改为真正的域名,进行代理。
最近测试京东的时候发现访问京东二级域名的时候偶尔会返回200,偶尔会301一个异常页面。
而如果新开浏览器打开二级页面,就没有这种问题。
偶尔发现如果不使用域名直接代理,而是使用浏览器代理设置,访问一切正常,非常奇怪。
通过对比发现,使用域名代理时使用的是HTTP2.0,而设置浏览器代理时使用的是HTTP1.1,于是在浏览器禁止http2.0(火狐设置 about:config network.http.spdy.enabled.http2为假/gg浏览器没找到怎么设置),访问京东一切正常。
客户端在请求的时候会携带自己支持的http类型
于是想到在代理时篡改字段,把http2.0给关掉,只申请http1.1,但是连接会被中断。
https://blog.csdn.net/mrpre/article/details/77868570
根据这个网页可以知道,虽然hello是明文的,但是也有校验,篡改是走不通的。
继续进一步抓包,发现在访问二级页面时,浏览器发出了几十个请求(不同域名),但是抓包只有一个链接,难道HTTP2.0会把不同域名同样IP的请求放在一个链接里面复用吗?所以导致了问题。
这里做了一些尝试,使用jiadian.jd.com的url访问www.jd.com 的ip地址。
我们发现刚好和浏览器出现的错误一样,都带了一个cdn_nohost。
基本可以确定HTTP2.0对于多个域名解析到同一个ip上的情况下,会复用连接,那么在这种情况下,简单的https代理就不开行了,只能针对一个域名给予一个ip的方法才能处理。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享标题:http2.0反向代理遇到的坑-创新互联
新闻来源:
http://cdkjz.cn/article/ddjpec.html
