51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

HTTP 代理原理及实现(一)

网络 网络管理
Web 代理是一种存在于网络中间的实体,提供各式各样的功能。现代网络系统中,Web 代理无处不在。我之前有关 HTTP 的博文中,多次提到了代理对 HTTP 请求及响应的影响。今天这篇文章,我打算谈谈 HTTP 代理本身的一些原理,以及如何用 Node.js 快速实现代理。

Web 代理是一种存在于网络中间的实体,提供各式各样的功能。现代网络系统中,Web 代理无处不在。我之前有关 HTTP 的博文中,多次提到了代理对 HTTP 请求及响应的影响。今天这篇文章,我打算谈谈 HTTP 代理本身的一些原理,以及如何用 Node.js 快速实现代理。

HTTP 代理存在两种形式,分别简单介绍如下:

***种是 RFC 7230 - HTTP/1.1: Message Syntax and Routing(即修订后的 RFC 2616,HTTP/1.1 协议的***部分)描述的普通代理。这种代理扮演的是「中间人」角色,对于连接到它的客户端来说,它是服务端;对于要连接的服务端来说,它是客户端。它就负责在两端之间来回传送 HTTP 报文。

第二种是 Tunneling TCP based protocols through Web proxy servers(通过 Web 代理服务器用隧道方式传输基于 TCP 的协议)描述的隧道代理。它通过 HTTP 协议正文部分(Body)完成通讯,以 HTTP 的方式实现任意基于 TCP 的应用层协议代理。这种代理使用 HTTP 的 CONNECT 方法建立连接,但 CONNECT 最开始并不是 RFC 2616 - HTTP/1.1 的一部分,直到 2014 年发布的 HTTP/1.1 修订版中,才增加了对 CONNECT 及隧道代理的描述,详见 RFC 7231 - HTTP/1.1: Semantics and Content。实际上这种代理早就被广泛实现。

本文描述的***种代理,对应《HTTP 权威指南》一书中第六章「代理」;第二种代理,对应第八章「集成点:网关、隧道及中继」中的 8.5 小节「隧道」。

普通代理

***种 Web 代理原理特别简单:

HTTP 客户端向代理发送请求报文,代理服务器需要正确地处理请求和连接(例如正确处理 Connection: keep-alive),同时向服务器发送请求,并将收到的响应转发给客户端。

下面这张图片来自于《HTTP 权威指南》,直观地展示了上述行为:

 [[157909]]

假如我通过代理访问 A 网站,对于 A 来说,它会把代理当做客户端,完全察觉不到真正客户端的存在,这实现了隐藏客户端 IP 的目的。当然代理也可以修改 HTTP 请求头部,通过 X-Forwarded-IP 这样的自定义头部告诉服务端真正的客户端 IP。但服务器无法验证这个自定义头部真的是由代理添加,还是客户端修改了请求头,所以从 HTTP 头部字段获取 IP 时,需要格外小心。

给浏览器显式的指定代理,需要手动修改浏览器或操作系统相关设置,或者指定 PAC(Proxy Auto-Configuration,自动配置代理)文件自动设置,还有些浏览器支持 WPAD(Web Proxy Autodiscovery Protocol,Web 代理自动发现协议)。显式指定浏览器代理这种方式一般称之为正向代理,浏览器启用正向代理后,会对 HTTP 请求报文做一些修改,来规避老旧代理服务器的一些问题。

还有一种情况是访问 A 网站时,实际上访问的是代理,代理收到请求报文后,再向真正提供服务的服务器发起请求,并将响应转发给浏览器。这种情况一般被称之为反向代理,它可以用来隐藏服务器 IP 及端口。一般使用反向代理后,需要通过修改 DNS 让域名解析到代理服务器 IP,这时浏览器无法察觉到真正服务器的存在,当然也就不需要修改配置了。反向代理是 Web 系统最为常见的一种部署方式,例如本博客就是使用 Nginx 的proxy_pass 功能将浏览器请求转发到背后的 Node.js 服务。

了解完***种代理的基本原理后,我们用 Node.js 实现一下它。只包含核心逻辑的代码如下:

  1. var http = require('http'); 
  2. var net = require('net'); 
  3. var url = require('url'); 
  4.  
  5. function request(cReq, cRes) { 
  6.     var u = url.parse(cReq.url); 
  7.  
  8.     var options = { 
  9.         hostname : u.hostname,  
  10.         port     : u.port || 80, 
  11.         path     : u.path,        
  12.         method     : cReq.method, 
  13.         headers     : cReq.headers 
  14.     }; 
  15.  
  16.     var pReq = http.request(options, function(pRes) { 
  17.         cRes.writeHead(pRes.statusCode, pRes.headers); 
  18.         pRes.pipe(cRes); 
  19.     }).on('error'function(e) { 
  20.         cRes.end(); 
  21.     }); 
  22.  
  23.     cReq.pipe(pReq); 
  25.  
  26. http.createServer().on('request', request).listen(8888, '0.0.0.0'); 

以上代码运行后,会在本地 8888 端口开启 HTTP 代理服务,这个服务从请求报文中解析出请求 URL 和其他必要参数,新建到服务端的请求,并把代理收到的请求转发给新建的请求,***再把服务端响应返回给浏览器。修改浏览器的 HTTP 代理为 127.0.0.1:8888 后再访问 HTTP 网站,代理可以正常工作。

但是,使用我们这个代理服务后,HTTPS 网站完全无法访问,这是为什么呢?答案很简单,这个代理提供的是 HTTP 服务,根本没办法承载 HTTPS 服务。那么是否把这个代理改为 HTTPS 就可以了呢?显然也不可以,因为这种代理的本质是中间人,而 HTTPS 网站的证书认证机制是中间人劫持的克星。普通的 HTTPS 服务中,服务端不验证客户端的证书,中间人可以作为客户端与服务端成功完成 TLS 握手;但是中间人没有证书私钥,无论如何也无法伪造成服务端跟客户端建立 TLS 连接。当然如果你拥有证书私钥,代理证书对应的 HTTPS 网站当然就没问题了。

HTTP 抓包神器 Fiddler 的工作原理也是在本地开启 HTTP 代理服务,通过让浏览器流量走这个代理,从而实现显示和修改 HTTP 包的功能。如果要让 Fiddler 解密 HTTPS 包的内容,需要先将它自带的根证书导入到系统受信任的根证书列表中。一旦完成这一步,浏览器就会信任 Fiddler 后续的「伪造证书」,从而在浏览器和 Fiddler、Fiddler 和服务端之间都能成功建立 TLS 连接。而对于 Fiddler 这个节点来说,两端的 TLS 流量都是可以解密的。

如果我们不导入根证书,Fiddler 的 HTTP 代理还能代理 HTTPS 流量么?实践证明,不导入根证书,Fiddler 只是无法解密 HTTPS 流量,HTTPS 网站还是可以正常访问。这是如何做到的,这些 HTTPS 流量是否安全呢?这些问题将在下一节揭晓。

隧道代理

第二种 Web 代理的原理也很简单:

HTTP 客户端通过 CONNECT 方法请求隧道代理创建一条到达任意目的服务器和端口的 TCP 连接,并对客户端和服务器之间的后继数据进行盲转发。

下面这张图片同样来自于《HTTP 权威指南》,直观地展示了上述行为:

 [[157910]]

假如我通过代理访问 A 网站,浏览器首先通过 CONNECT 请求,让代理创建一条到 A 网站的 TCP 连接;一旦 TCP 连接建好,代理无脑转发后续流量即可。所以这种代理,理论上适用于任意基于 TCP 的应用层协议,HTTPS 网站使用的 TLS 协议当然也可以。这也是这种代理为什么被称为隧道的原因。对于 HTTPS 来说,客户端透过代理直接跟服务端进行 TLS 握手协商密钥,所以依然是安全的,下图中的抓包信息显示了这种场景:

 [[157911]]

可以看到,浏览器与代理进行 TCP 握手之后,发起了 CONNECT 请求,报文起始行如下:

  1. CONNECT imququ.com:443 HTTP/1.1 

对于 CONNECT 请求来说,只是用来让代理创建 TCP 连接,所以只需要提供服务器域名及端口即可,并不需要具体的资源路径。代理收到这样的请求后,需要与服务端建立 TCP 连接,并响应给浏览器这样一个 HTTP 报文:

  1. HTTP/1.1 200 Connection Established 

浏览器收到了这个响应报文,就可以认为到服务端的 TCP 连接已经打通,后续直接往这个 TCP 连接写协议数据即可。通过 Wireshark 的 Follow TCP Steam 功能,可以清楚地看到浏览器和代理之间的数据传递:

 [[157912]]

可以看到,浏览器建立到服务端 TCP 连接产生的 HTTP 往返,完全是明文,这也是为什么 CONNECT 请求只需要提供域名和端口:如果发送了完整 URL、Cookie 等信息,会被中间人一览无余,降低了 HTTPS 的安全性。HTTP 代理承载的 HTTPS 流量,应用数据要等到 TLS 握手成功之后通过 Application Data 协议传输,中间节点无法得知用于流量加密的 master-secret,无法解密数据。而 CONNECT 暴露的域名和端口,对于普通的 HTTPS 请求来说,中间人一样可以拿到(IP 和端口很容易拿到,请求的域名可以通过 DNS Query 或者 TLS Client Hello 中的 Server Name Indication 拿到),所以这种方式并没有增加不安全性。

#p#

了解完原理后,再用 Node.js 实现一个支持 CONNECT 的代理也很简单。核心代码如下:

  1. JSvar http = require('http'); 
  2.  
  3. var net = require('net'); 
  4.  
  5. var url = require('url'); 
  6.  
  7. function connect(cReq, cSock) { 
  8.  
  9. var u = url.parse('http://' + cReq.url); 
  10.  
  11. var pSock = net.connect(u.port, u.hostname, function() { 
  12.  
  13. cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
  14.  
  15. pSock.pipe(cSock); 
  16.  
  17. }).on('error'function(e) { 
  18.  
  19. cSock.end(); 
  20.  
  21. }); 
  22.  
  23. cSock.pipe(pSock); 
  24.  
  26.  
  27. http.createServer().on('connect', connect).listen(8888, '0.0.0.0'); 

以上代码运行后,会在本地 8888 端口开启 HTTP 代理服务,这个服务从 CONNECT 请求报文中解析出域名和端口,创建到服务端的 TCP 连接,并和 CONNECT 请求中的 TCP 连接串起来,***再响应一个 Connection Established 响应。修改浏览器的 HTTP 代理为 127.0.0.1:8888 后再访问 HTTPS 网站,代理可以正常工作。

***,将两种代理的实现代码合二为一,就可以得到全功能的 Proxy 程序了,全部代码在 50 行以内(当然异常什么的基本没考虑,这是我博客代码的一贯风格):

  1. JSvar http = require('http'); 
  2.  
  3. var net = require('net'); 
  4.  
  5. var url = require('url'); 
  6.  
  7. function request(cReq, cRes) { 
  8.  
  9. var u = url.parse(cReq.url); 
  10.  
  11. var options = { 
  12.  
  13. hostname : u.hostname, 
  14.  
  15. port : u.port || 80, 
  16.  
  17. path : u.path, 
  18.  
  19. method : cReq.method, 
  20.  
  21. headers : cReq.headers 
  22.  
  23. }; 
  24.  
  25. var pReq = http.request(options, function(pRes) { 
  26.  
  27. cRes.writeHead(pRes.statusCode, pRes.headers); 
  28.  
  29. pRes.pipe(cRes); 
  30.  
  31. }).on('error'function(e) { 
  32.  
  33. cRes.end(); 
  34.  
  35. }); 
  36.  
  37. cReq.pipe(pReq); 
  38.  
  40.  
  41. function connect(cReq, cSock) { 
  42.  
  43. var u = url.parse('http://' + cReq.url); 
  44.  
  45. var pSock = net.connect(u.port, u.hostname, function() { 
  46.  
  47. cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
  48.  
  49. pSock.pipe(cSock); 
  50.  
  51. }).on('error'function(e) { 
  52.  
  53. cSock.end(); 
  54.  
  55. }); 
  56.  
  57. cSock.pipe(pSock); 
  58.  
  60.  
  61. http.createServer() 
  62.  
  63. .on('request', request) 
  64.  
  65. .on('connect', connect) 
  66.  
  67. .listen(8888, '0.0.0.0'); 

需要注意的是,大部分浏览器显式配置了代理之后,只会让 HTTPS 网站走隧道代理,这是因为建立隧道需要耗费一次往返,能不用就尽量不用。但这并不代表 HTTP 请求不能走隧道代理,我们用 Node.js 写段程序验证下(先运行前面的代理服务):

  1. JSvar http = require('http'); 
  2.  
  3. var options = { 
  4.  
  5. hostname : '127.0.0.1'
  6.  
  7. port : 8888, 
  8.  
  9. path : 'imququ.com:80'
  10.  
  11. method : 'CONNECT' 
  12.  
  13. }; 
  14.  
  15. var req = http.request(options); 
  16.  
  17. req.on('connect'function(res, socket) { 
  18.  
  19. socket.write('GET / HTTP/1.1\r\n' + 
  20.  
  21. 'Host: imququ.com\r\n' + 
  22.  
  23. 'Connection: Close\r\n' + 
  24.  
  25. '\r\n'); 
  26.  
  27. socket.on('data'function(chunk) { 
  28.  
  29. console.log(chunk.toString()); 
  30.  
  31. }); 
  32.  
  33. socket.on('end'function() { 
  34.  
  35. console.log('socket end.'); 
  36.  
  37. }); 
  38.  
  39. }); 
  40.  
  41. req.end(); 

这段代码运行完,结果如下:

  1. HTTP/1.1 301 Moved Permanently 
  2. Server: nginx 
  3. Date: Thu, 19 Nov 2015 15:57:47 GMT 
  4. Content-Type: text/html 
  5. Content-Length: 178 
  6. Connection: close 
  7. Location: https://imququ.com/ 
  8.  
  9. <html> 
  10. <head><title>301 Moved Permanently</title></head> 
  11. <body bgcolor="white"
  12. <center><h1>301 Moved Permanently</h1></center> 
  13. <hr><center>nginx</center> 
  14. </body> 
  15. </html> 
  16.  
  17. socket end. 

可以看到,通过 CONNECT 让代理打开到目标服务器的 TCP 连接,用来承载 HTTP 流量也是完全没问题的。

***,HTTP 的认证机制可以跟代理配合使用,使得必须输入正确的用户名和密码才能使用代理,这部分内容比较简单,这里略过。在本文第二部分,我打算谈谈如何把今天实现的代理改造为 HTTPS 代理,也就是如何让浏览器与代理之间的流量走 HTTPS 安全机制。

责任编辑:何妍 来源: Jerry Qu的小站
HTTP网络协议代理原理
相关推荐
HTTP 代理原理实现(二)
在上篇《HTTP代理原理及实现(一)》里,我介绍了HTTP代理的两种形式,并用Node.js实现了一个可用的普通隧道代理。普通代理可以用来承载HTTP流量;隧道代理可以用来承载任何TCP流量,包括HTTP和HTTPS。今天这篇文章介绍剩余部分:如何将浏览器与代理之间的流量传输升级为HTTPS。

2015-12-02 15:29:32

HTTP网络协议代理原理
Golang 实现个简单的 http 代理
本文详细介绍了Golang实现http代理的实现,在实际业务中有需求的同学可以学起来了!

2021-07-20 10:30:46

Golanghttp语言
HTTP工作原理案例解析
为了更好地理解Web浏览器和Web客户端的交互原理,我们可以研究一下浏览器是如何打开网页的。

2020-07-10 09:04:55

HTTPS浏览器网络协议
http协议与http代理
TCPIP是用于计算机通信的一个协议族。TCPIP协议族包括诸如Internet协议、地址解析协议、互联网控制信息协议、用户数据报协议、传输控制协议、路由信息协议、Telnet、简单邮件传输协议、域名系统等协议。

2014-10-22 09:36:41

TCPIP
用Go实现HTTP代理服务器
通过本文,我们了解了HTTP代理服务器的基本工作原理,并通过使用Go语言实现的示例代码得以实际应用。

2024-01-08 08:36:29

HTTPGo代理服务器
深入理解HTTP协议原理分析
HTTP协议是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示等。

2015-03-17 09:44:08

深入解读HTTP/3的原理应用
HTTP3是HTTP协议的最新版本。从诞生之初,HTTP就是交换超文本文档的首选应用层协议。多年来,为了跟上互联网的发展,以及WWW上交换的内容种类增加,HTTP进行了几次重大升级。

2020-05-15 08:10:14

HTTP3应用协议
使用 Swift 搭建HTTP 代理
本文将使用Hummingbird[1]作为服务端的基本HTTP框架,以及使用AsyncHTTPClient作为Swift的HTTP客户端来请求目标服务。

2021-12-14 09:00:42

Swift HTTP 代理服务器
浅谈Struts的工作原理HTTP响应
本文将为您简单讲解Struts的工作原理。原理还是封装servlet,就是把url地址请求映射到指定方法上,然后再将方法返回的对象在对应页面上展示。

2009-06-04 10:41:52

Struts工作原理
通讯协议:彻底弄懂 HTTP 缓存机制原理
Http缓存机制作为web性能优化的重要手段,对于从事Web开发的同学们来说,应该是知识体系库中的一个基础环节,同时对于有志成为前端架构师的同学来说是必备的知识技能。

2018-11-30 09:03:55

HTTP缓存Web
HTTP代理与SPDY协议
HTTP代理是最经典最常见的代理协议。其用途非常广泛,普遍见于公司内网环境,一般员工都需要给浏览器配置一个HTTP代理才能访问互联网。起初,HTTP代理也用来翻越“功夫网”,但是因为“功夫网”不断发展,普通的HTTP代理早已无效了。

2013-07-09 14:36:24

ThreadLocal的使用实现原理
ThreadLocal可以用来把实例变量共享成全局变量,让程序中所有的方法都可以访问到该变量。

2022-03-17 08:55:43

本地线程变量共享全局变量
Rollup - 构建原理简易实现
我们先看看Rollup的作者RichHarris是怎么讲的Rollup是一个模块化的打包工具。本质上,它会合并JavaScript文件。而且你不需要去手动指定它们的顺序,或者去担心文件之间的变量名冲突。它的内部实现会比说的复杂一点,但是它就是这么做的——合并。

2021-06-10 08:29:15

Rollup工具前端
浅析 Preact Signals 实现原理
PreactSignals本身在状态管理上区别于ReactHooks上的一个点在于:Signals本身是基于应用的状态图去做数据更新,而Hooks本身则是依附于React的组件树去进行更新。

2023-12-18 09:39:13

PreactHooks状态管理
Java反射机制剖析:深度剖析动态代理原理总结
通过这篇文章对动态代理进行了深度剖析,现在想起来还感觉非常有意思,这里面其实最根本的机制就是反射机制,运行时动态实例化任何一个类,并且调用它的具体细节。

2012-02-08 10:37:42

Java反射
Linux双网卡绑定个IP原理实现
保持服务器的高可用性是企业级IT环境的重要因素。其中最重要的一点是服务器网络连接的高可用性。网卡(NIC)绑定技术有助于保证高可用性特性并提供其它优势以提高网络性能。

2009-11-23 11:55:43

Linux双网卡IP原理
SNMP代理原理基础
文章摘要:文章中,我们对SNMP代理的基础原理做了介绍。这也是SNMP原理中重要的一部分。希望大家能够掌握。

2010-07-12 17:00:14

SNMP代理
文读懂 Go Http Server 原理
第一个参数Addr是要监听的地址和端口,第二个参数Handler一般是nil,它是真正的逻辑处理,但我们通常用第一行代码那样来注册处理器,这代码一看就感觉是把path映射到业务逻辑上,我们先大概了解,待会再来看它。

2023-01-09 08:14:08

GoHttpServer
JavaScript 预解析的原理实现
JavaScript是解释型语言是毋庸置疑的,但它是不是仅在运行时自上往下一句一句地解析的呢

2015-03-10 13:55:31

JavaScript预解析原理及实现
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服