我有一个Node.JS服务正在运行,我试图从不同的系统连接。当前使用Postman测试服务。Postman给出错误-There was an error connecting to https://lddbbtx.wdf......./index.xsjs.
现在,我通过禁用Postman中的“SSL证书验证”选项重试请求,它似乎工作。我可以从服务接收响应。
但是在生产中,我们将使用Recast.AI来连接这个服务。在Recast中,他们提供了一种为GET/POST请求设置头的方法。所以,我想知道,有没有办法在请求的头中禁用SSL验证?
1条答案
按热度按时间7tofc5zh1#
...是否有办法在请求的标头中禁用SSL验证?
服务器证书的验证在客户端完成。它在TLS握手期间完成,因此在发送任何HTTP请求之前完成。禁用验证不能由服务器触发,因为否则中间人攻击者可以简单地指示受害者不检查证书。
一般来说,禁用验证或甚至禁用部分验证(如检查URL中的主机名是否与证书匹配)是一个非常糟糕的主意。禁用证书验证后,传输仍然是加密的,但客户端不会检查它是否确实与预期的服务器通信。这样,攻击者可以进行简单的中间人攻击来模拟服务器,从而监听并修改所有通信。