我正在运行一个Node.JS服务,我正在尝试从其他系统连接该服务。当前正在使用POSTMAN来测试服务。邮递员出现错误-There was an error connecting to https://lddbbtx.wdf......./index.xsjs.
现在,我通过禁用Postman中的“ SSL认证验证”选项重试了该请求,它似乎可以正常工作。我可以收到该服务的回复。
但是在生产中,我们将使用Recast.AI连接到此服务。在重铸中,它们提供了一种为GET / POST请求设置标头的方法。所以,我想知道,是否有一种方法可以在请求的标头中禁用SSL验证?
答案 0 :(得分:0)
...是否可以禁用请求标头中的SSL验证?
服务器证书的验证在客户端完成。它是在TLS握手期间完成的,因此在发送任何HTTP请求之前都已完成。服务器无法触发禁用验证,因为否则,中间攻击者中的一个人可能只是指示受害者不要检查证书。
通常-禁用验证甚至验证的一部分(例如检查URL中的主机名是否与证书匹配)是一个非常糟糕的主意。使用禁用的证书验证,传输仍会加密,但是客户端不会检查它是否确实与预期的服务器通信。这样,攻击者可以在中间攻击中做一个简单的人来模仿服务器,从而嗅探并修改所有流量。