HTTP 代理原理及实现(一)

Web 代理是一种存在于网络中间的实体,提供各式各样的功能。现代网络系统中,Web 代理无处不在。我之前有关 HTTP 的博文中,多次提到了代理对 HTTP 请求及响应的影响。今天这篇文章,我打算谈谈 HTTP 代理本身的一些原理,以及如何用 Node.js 快速实现代理。

HTTP 代理存在两种形式,分别简单介绍如下:

第一种是 RFC 7230 - HTTP/1.1: Message Syntax and Routing(即修订后的 RFC 2616,HTTP/1.1 协议的第一部分)描述的普通代理。这种代理扮演的是「中间人」角色,对于连接到它的客户端来说,它是服务端;对于要连接的服务端来说,它是客户端。它就负责在两端之间来回传送 HTTP 报文。

第二种是 Tunneling TCP based protocols through Web proxy servers(通过 Web 代理服务器用隧道方式传输基于 TCP 的协议)描述的隧道代理。它通过 HTTP 协议正文部分(Body)完成通讯,以 HTTP 的方式实现任意基于 TCP 的应用层协议代理。这种代理使用 HTTP 的 CONNECT 方法建立连接,但 CONNECT 最开始并不是 RFC 2616 - HTTP/1.1 的一部分,直到 2014 年发布的 HTTP/1.1 修订版中,才增加了对 CONNECT 及隧道代理的描述,详见 RFC 7231 - HTTP/1.1: Semantics and Content。实际上这种代理早就被广泛实现。

本文描述的第一种代理,对应《HTTP 权威指南》一书中第六章「代理」;第二种代理,对应第八章「集成点:网关、隧道及中继」中的 8.5 小节「隧道」。

普通代理

第一种 Web 代理原理特别简单:

HTTP 客户端向代理发送请求报文,代理服务器需要正确地处理请求和连接(例如正确处理 Connection: keep-alive),同时向服务器发送请求,并将收到的响应转发给客户端。

下面这张图片来自于《HTTP 权威指南》,直观地展示了上述行为:

假如我通过代理访问 A 网站,对于 A 来说,它会把代理当做客户端,完全察觉不到真正客户端的存在,这实现了隐藏客户端 IP 的目的。当然代理也可以修改 HTTP 请求头部,通过 X-Forwarded-IP 这样的自定义头部告诉服务端真正的客户端 IP。但服务器无法验证这个自定义头部真的是由代理添加,还是客户端修改了请求头,所以从 HTTP 头部字段获取 IP 时,需要格外小心。

给浏览器显式的指定代理,需要手动修改浏览器或操作系统相关设置,或者指定 PAC(Proxy Auto-Configuration,自动配置代理)文件自动设置,还有些浏览器支持 WPAD(Web Proxy Autodiscovery Protocol,Web 代理自动发现协议)。显式指定浏览器代理这种方式一般称之为正向代理,浏览器启用正向代理后,会对 HTTP 请求报文做一些修改,来规避老旧代理服务器的一些问题。

还有一种情况是访问 A 网站时,实际上访问的是代理,代理收到请求报文后,再向真正提供服务的服务器发起请求,并将响应转发给浏览器。这种情况一般被称之为反向代理,它可以用来隐藏服务器 IP 及端口。一般使用反向代理后,需要通过修改 DNS 让域名解析到代理服务器 IP,这时浏览器无法察觉到真正服务器的存在,当然也就不需要修改配置了。反向代理是 Web 系统最为常见的一种部署方式,例如本博客就是使用 Nginx 的proxy_pass 功能将浏览器请求转发到背后的 Node.js 服务。

了解完第一种代理的基本原理后,我们用 Node.js 实现一下它。只包含核心逻辑的代码如下:



    

  1. var http = require('http'); 
    2. 

  2. var net = require('net'); 
    3. 

  3. var url = require('url'); 
    4. 

  4.  
    5. 

  5. function request(cReq, cRes) { 
    6. 

  6.     var u = url.parse(cReq.url); 
    7. 

  7.  
    8. 

  8.     var options = { 
    9. 

  9.         hostname : u.hostname,  
    10. 

  10.         port     : u.port || 80, 
    11. 

  11.         path     : u.path,        
    12. 

  12.         method     : cReq.method, 
    13. 

  13.         headers     : cReq.headers 
    14. 

  14.     }; 
    15. 

  15.  
    16. 

  16.     var pReq = http.request(options, function(pRes) { 
    17. 

  17.         cRes.writeHead(pRes.statusCode, pRes.headers); 
    18. 

  18.         pRes.pipe(cRes); 
    19. 

  19.     }).on('error', function(e) { 
    20. 

  20.         cRes.end(); 
    21. 

  21.     }); 
    22. 

  22.  
    23. 

  23.     cReq.pipe(pReq); 
    24. 

    25. 

  25.  
    26. 

  26. http.createServer().on('request', request).listen(8888, '0.0.0.0'); 
    27. 



以上代码运行后,会在本地 8888 端口开启 HTTP 代理服务,这个服务从请求报文中解析出请求 URL 和其他必要参数,新建到服务端的请求,并把代理收到的请求转发给新建的请求,最后再把服务端响应返回给浏览器。修改浏览器的 HTTP 代理为 127.0.0.1:8888 后再访问 HTTP 网站,代理可以正常工作。


但是,使用我们这个代理服务后,HTTPS 网站完全无法访问,这是为什么呢?答案很简单,这个代理提供的是 HTTP 服务,根本没办法承载 HTTPS 服务。那么是否把这个代理改为 HTTPS 就可以了呢?显然也不可以,因为这种代理的本质是中间人,而 HTTPS 网站的证书认证机制是中间人劫持的克星。普通的 HTTPS 服务中,服务端不验证客户端的证书,中间人可以作为客户端与服务端成功完成 TLS 握手;但是中间人没有证书私钥,无论如何也无法伪造成服务端跟客户端建立 TLS 连接。当然如果你拥有证书私钥,代理证书对应的 HTTPS 网站当然就没问题了。


HTTP 抓包神器 Fiddler 的工作原理也是在本地开启 HTTP 代理服务,通过让浏览器流量走这个代理,从而实现显示和修改 HTTP 包的功能。如果要让 Fiddler 解密 HTTPS 包的内容,需要先将它自带的根证书导入到系统受信任的根证书列表中。一旦完成这一步,浏览器就会信任 Fiddler 后续的「伪造证书」,从而在浏览器和 Fiddler、Fiddler 和服务端之间都能成功建立 TLS 连接。而对于 Fiddler 这个节点来说,两端的 TLS 流量都是可以解密的。


如果我们不导入根证书,Fiddler 的 HTTP 代理还能代理 HTTPS 流量么?实践证明,不导入根证书,Fiddler 只是无法解密 HTTPS 流量,HTTPS 网站还是可以正常访问。这是如何做到的,这些 HTTPS 流量是否安全呢?这些问题将在下一节揭晓。


隧道代理


第二种 Web 代理的原理也很简单:


HTTP 客户端通过 CONNECT 方法请求隧道代理创建一条到达任意目的服务器和端口的 TCP 连接,并对客户端和服务器之间的后继数据进行盲转发。


下面这张图片同样来自于《HTTP 权威指南》,直观地展示了上述行为:




假如我通过代理访问 A 网站,浏览器首先通过 CONNECT 请求,让代理创建一条到 A 网站的 TCP 连接;一旦 TCP 连接建好,代理无脑转发后续流量即可。所以这种代理,理论上适用于任意基于 TCP 的应用层协议,HTTPS 网站使用的 TLS 协议当然也可以。这也是这种代理为什么被称为隧道的原因。对于 HTTPS 来说,客户端透过代理直接跟服务端进行 TLS 握手协商密钥,所以依然是安全的,下图中的抓包信息显示了这种场景:




可以看到,浏览器与代理进行 TCP 握手之后,发起了 CONNECT 请求,报文起始行如下:




    

  1. CONNECT imququ.com:443 HTTP/1.1 
    2. 



对于 CONNECT 请求来说,只是用来让代理创建 TCP 连接,所以只需要提供服务器域名及端口即可,并不需要具体的资源路径。代理收到这样的请求后,需要与服务端建立 TCP 连接,并响应给浏览器这样一个 HTTP 报文:




    

  1. HTTP/1.1 200 Connection Established 
    2. 



浏览器收到了这个响应报文,就可以认为到服务端的 TCP 连接已经打通,后续直接往这个 TCP 连接写协议数据即可。通过 Wireshark 的 Follow TCP Steam 功能,可以清楚地看到浏览器和代理之间的数据传递:




可以看到,浏览器建立到服务端 TCP 连接产生的 HTTP 往返,完全是明文,这也是为什么 CONNECT 请求只需要提供域名和端口:如果发送了完整 URL、Cookie 等信息,会被中间人一览无余,降低了 HTTPS 的安全性。HTTP 代理承载的 HTTPS 流量,应用数据要等到 TLS 握手成功之后通过 Application Data 协议传输,中间节点无法得知用于流量加密的 master-secret,无法解密数据。而 CONNECT 暴露的域名和端口,对于普通的 HTTPS 请求来说,中间人一样可以拿到(IP 和端口很容易拿到,请求的域名可以通过 DNS Query 或者 TLS Client Hello 中的 Server Name Indication 拿到),所以这种方式并没有增加不安全性。


了解完原理后,再用 Node.js 实现一个支持 CONNECT 的代理也很简单。核心代码如下:




    

  1. JSvar http = require('http'); 
    2. 

  2.  
    3. 

  3. var net = require('net'); 
    4. 

  4.  
    5. 

  5. var url = require('url'); 
    6. 

  6.  
    7. 

  7. function connect(cReq, cSock) { 
    8. 

  8.  
    9. 

  9. var u = url.parse('http://' + cReq.url); 
    10. 

  10.  
    11. 

  11. var pSock = net.connect(u.port, u.hostname, function() { 
    12. 

  12.  
    13. 

  13. cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
    14. 

  14.  
    15. 

  15. pSock.pipe(cSock); 
    16. 

  16.  
    17. 

  17. }).on('error', function(e) { 
    18. 

  18.  
    19. 

  19. cSock.end(); 
    20. 

  20.  
    21. 

  21. }); 
    22. 

  22.  
    23. 

  23. cSock.pipe(pSock); 
    24. 

  24.  
    25. 

    26. 

  26.  
    27. 

  27. http.createServer().on('connect', connect).listen(8888, '0.0.0.0'); 
    28. 



以上代码运行后,会在本地 8888 端口开启 HTTP 代理服务,这个服务从 CONNECT 请求报文中解析出域名和端口,创建到服务端的 TCP 连接,并和 CONNECT 请求中的 TCP 连接串起来,最后再响应一个 Connection Established 响应。修改浏览器的 HTTP 代理为 127.0.0.1:8888 后再访问 HTTPS 网站,代理可以正常工作。


最后,将两种代理的实现代码合二为一,就可以得到全功能的 Proxy 程序了,全部代码在 50 行以内(当然异常什么的基本没考虑,这是我博客代码的一贯风格):




    

  1. JSvar http = require('http'); 
    2. 

  2.  
    3. 

  3. var net = require('net'); 
    4. 

  4.  
    5. 

  5. var url = require('url'); 
    6. 

  6.  
    7. 

  7. function request(cReq, cRes) { 
    8. 

  8.  
    9. 

  9. var u = url.parse(cReq.url); 
    10. 

  10.  
    11. 

  11. var options = { 
    12. 

  12.  
    13. 

  13. hostname : u.hostname, 
    14. 

  14.  
    15. 

  15. port : u.port || 80, 
    16. 

  16.  
    17. 

  17. path : u.path, 
    18. 

  18.  
    19. 

  19. method : cReq.method, 
    20. 

  20.  
    21. 

  21. headers : cReq.headers 
    22. 

  22.  
    23. 

  23. }; 
    24. 

  24.  
    25. 

  25. var pReq = http.request(options, function(pRes) { 
    26. 

  26.  
    27. 

  27. cRes.writeHead(pRes.statusCode, pRes.headers); 
    28. 

  28.  
    29. 

  29. pRes.pipe(cRes); 
    30. 

  30.  
    31. 

  31. }).on('error', function(e) { 
    32. 

  32.  
    33. 

  33. cRes.end(); 
    34. 

  34.  
    35. 

  35. }); 
    36. 

  36.  
    37. 

  37. cReq.pipe(pReq); 
    38. 

  38.  
    39. 

    40. 

  40.  
    41. 

  41. function connect(cReq, cSock) { 
    42. 

  42.  
    43. 

  43. var u = url.parse('http://' + cReq.url); 
    44. 

  44.  
    45. 

  45. var pSock = net.connect(u.port, u.hostname, function() { 
    46. 

  46.  
    47. 

  47. cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
    48. 

  48.  
    49. 

  49. pSock.pipe(cSock); 
    50. 

  50.  
    51. 

  51. }).on('error', function(e) { 
    52. 

  52.  
    53. 

  53. cSock.end(); 
    54. 

  54.  
    55. 

  55. }); 
    56. 

  56.  
    57. 

  57. cSock.pipe(pSock); 
    58. 

  58.  
    59. 

    60. 

  60.  
    61. 

  61. http.createServer() 
    62. 

  62.  
    63. 

  63. .on('request', request) 
    64. 

  64.  
    65. 

  65. .on('connect', connect) 
    66. 

  66.  
    67. 

  67. .listen(8888, '0.0.0.0'); 
    68. 



需要注意的是,大部分浏览器显式配置了代理之后,只会让 HTTPS 网站走隧道代理,这是因为建立隧道需要耗费一次往返,能不用就尽量不用。但这并不代表 HTTP 请求不能走隧道代理,我们用 Node.js 写段程序验证下(先运行前面的代理服务):




    

  1. JSvar http = require('http'); 
    2. 

  2.  
    3. 

  3. var options = { 
    4. 

  4.  
    5. 

  5. hostname : '127.0.0.1', 
    6. 

  6.  
    7. 

  7. port : 8888, 
    8. 

  8.  
    9. 

  9. path : 'imququ.com:80', 
    10. 

  10.  
    11. 

  11. method : 'CONNECT' 
    12. 

  12.  
    13. 

  13. }; 
    14. 

  14.  
    15. 

  15. var req = http.request(options); 
    16. 

  16.  
    17. 

  17. req.on('connect', function(res, socket) { 
    18. 

  18.  
    19. 

  19. socket.write('GET / HTTP/1.1\r\n' + 
    20. 

  20.  
    21. 

  21. 'Host: imququ.com\r\n' + 
    22. 

  22.  
    23. 

  23. 'Connection: Close\r\n' + 
    24. 

  24.  
    25. 

  25. '\r\n'); 
    26. 

  26.  
    27. 

  27. socket.on('data', function(chunk) { 
    28. 

  28.  
    29. 

  29. console.log(chunk.toString()); 
    30. 

  30.  
    31. 

  31. }); 
    32. 

  32.  
    33. 

  33. socket.on('end', function() { 
    34. 

  34.  
    35. 

  35. console.log('socket end.'); 
    36. 

  36.  
    37. 

  37. }); 
    38. 

  38.  
    39. 

  39. }); 
    40. 

  40.  
    41. 

  41. req.end(); 
    42. 



这段代码运行完,结果如下:




    

  1. HTTP/1.1 301 Moved Permanently 
    2. 

  2. Server: nginx 
    3. 

  3. Date: Thu, 19 Nov 2015 15:57:47 GMT 
    4. 

  4. Content-Type: text/html 
    5. 

  5. Content-Length: 178 
    6. 

  6. Connection: close 
    7. 

  7. Location: https://imququ.com/ 
    8. 

  8.  
    9. 

  9. <html> 
    10. 

  10. <head><title>301 Moved Permanently</title></head> 
    11. 

  11. <body bgcolor="white"> 
    12. 

  12. <center><h1>301 Moved Permanently</h1></center> 
    13. 

  13. <hr><center>nginx</center> 
    14. 

  14. </body> 
    15. 

  15. </html> 
    16. 

  16.  
    17. 

  17. socket end. 
    18. 



可以看到,通过 CONNECT 让代理打开到目标服务器的 TCP 连接,用来承载 HTTP 流量也是完全没问题的。


最后,HTTP 的认证机制可以跟代理配合使用,使得必须输入正确的用户名和密码才能使用代理,这部分内容比较简单,这里略过。在本文第二部分,我打算谈谈如何把今天实现的代理改造为 HTTPS 代理,也就是如何让浏览器与代理之间的流量走 HTTPS 安全机制。


作者:何妍 


来源:51CTO
				


				
时间: 2025-01-01 06:04:02

		
		


		


	

	
	

		


		
HTTP 代理原理及实现(一)的相关文章


								

		

			

                反向代理原理反向代理服务器配置解决访问加速
			

		

		

									

				基本原理: 用户A始终认为它访问的是原始服务器B而不是代理服务器Z,但实用际上反向代理服务器接受用户A的应答,从原始资源服务器B中取得用户A的需求资源,然后发送给用户A.由于防火墙的作用,只允许代理服务器Z访问原始资源服务器B.尽管在这个虚拟的环境下,防火墙和反向代理的共同作用保护了原始资源服务器B,但用户A并不知情. ps:简单的说,用户A所请求的和响应全由代理服务器Z和真实的服务器B做了代理工作 解决使用单线程下nginx反向代理服务器配置(网络资料提供参考,原文:http://www.jb			

		

	

				

		

			

                Java中的代理原理及代理使用示例_java
			

		

		

									

				今天再测试Socket编程时,无法连接外网.公司用的是Http的代理.上网搜索也没看太懂,所以花了大量时间来学习.看了HTTP和TCP协议的关系好,才有所明白.现在能通过Socket使用HTTP代理了,结果很简单,过程却好难. 1. 先简要说说HTTP和TCP(具体内容自行Google,资料很多很全),这里就讲讲要点: HTTP:是应用层协议,是基于传输层协议的. TCP: 是传输层协议,是基于网络层协议的. IP: 是网络层协议. 一个TCP的连接要进行三次握手(就像转户口一样,不详说),HT			

		

	

				

		

			

                [Proxy Auto Config]GoogleWebAccelerator用的Proxy.pac代理原理介绍
			

		

		

									

				Proxy Auto Config 什么是 Proxy Auto Config ? 首先,我们一定要知道什么是 Proxy?他的功用是什么?如果还不知道,可以参照这份文件. 而 PAC(Proxy Auto Config) 又是什么呢?它实际上是一个 Script:经由编写这个 Script,我们可以让系统判断在怎么样的情形下,要利用哪一台 Proxy 来进行联机.这样做主要的好处有: 1.      分散 Proxy 的流量,避免 Proxy Server 负载过高 2.      针对个别条			

		

	

				

		

			

                你真的了解iOS代理设计模式吗?
			

		

		

									

				本文是投稿文章,作者:刘小壮 在项目中我们经常会用到代理的设计模式,这是iOS中一种消息传递的方式,也可以通过这种方式来传递一些参数.这篇文章会涵盖代理的使用技巧和原理,以及代理的内存管理等方面的知识.我会通过这些方面的知识,带大家真正领略代理的奥妙.写的有点多,但都是干货,我能写下去,不知道你有没有耐心看下去.本人能力有限,如果文章中有什么问题或没有讲到的点,请帮忙指出,十分感谢! iOS中消息传递方式 在iOS中有很多种消息传递方式,这里先简单介绍一下各种消息传递方式. 通知:在iOS中由通			

		

	

				

		

			

                WPAD的原理及实现过程
			

		

		

									

				WPAD 通过让浏览器自动发现代理服务器,使代理服务器对用户来说是透明的,进而轻松访问互联网.WPAD 可以借助 DNS 服务器或 DHCP 服务器来查询代理自动配置(PAC)文件的位置. 引言 代理服务器大多被用来连接 INTERNET (国际互联网)和 INTRANET(企业内部网).在多个局域网中需设置不同的代理服务器参数来使浏览器访问网络.在微软 Internet Explorer ( IE )5.0 以上版本中的功能中已经具备了自动切换代理服务器的功能.网络管理员需要事先部署代理服务器			

		

	

				

		

			

                JDK动态代理简介
			

		

		

									

				动态代理 代理模式是 Java 中的常用设计模式,代理类通过调用被代理类的相关方法,提供预处理.过滤.事后处理等服务,动态代理及通过反射机制动态实现代理机制.JDK 中的 java.lang.reflect.Proxy 类可以用来实现动态代理. 首先,准备一个简单的接口和实现类 /** * 接口 IHello.java */ public interface IHello { void hello(); } /** * 实现类 Hello.java */ public class Hello i			

		

	

				

		

			

                spring入门(13) JDK动态代理
			

		

		

									

				首先我们来了解一下java中的代理模式,代理模式的英文叫做Proxy或Surrogate,中文都可译为"代理",所谓代理,就 是一个人或者一个机构代表另一个人或者另一个机构采取行动.在一些情况下,一个客户不想或者不能够直接引用一个对象 ,而代理对象可以在客户端和目标对象之间起到中介的作用. 1.抽象主题角色 声明了真实主题和代理主题 的共同接口,这样一来在任何可以使用真实主题的地方都可以是使用代理主题 2.代理主题(Proxy)角色: 代理主题角色内部含有对真实主题的引用,从而可以在任			

		

	

				

		

			

                深入理解tomcat是中间件、正向代理、反向代理、透明代理以及IIS、Apache、Tomcat、Weblogic、WebSphere
			

		

		

									

				       中间件(middleware)是基础软件的一大类,属于可复用软件的范畴.顾名思义,中间件处于操作系统软件与用户的应用软件的中间. 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源.中间件位于客户机/ 服务器的操作系统之上,管理计算机资源和网络通讯.是连接两个独立应用程序或独立系统的软件.相连接的系统,即使它们具有不同的接口,但通过中间件相互之间仍能交换信息.执行中间件的一个关键途径是信息传递.通过中间件,应用程序可以工作于多平台或OS环境.			

		

	

				

		

			

                vpn技术原理详解
			

		

		

									

				转载于:http://blog.csdn.net/quqi99/article/details/7334617 假设有这样一个需求,需要从家中访问公司内网机器,可以用ssh遂道技术来作转发,遂道分正向遂道和反向遂道两种,如果数据流向与ssh的顺序(从 ssh client -> ssh server )相同即为正向遂道(用-L标识),如果数据流向与  ssh的顺序相反即为反向遂道.下面直接上两张图来说明: 上面第一张图是正向遂道,数据流向与ssh的顺序(指ssh client -> ssh s