如何防止我的 HTTPS 站点被 Fiddler 拦截?因为 Fiddler 甚至可以拦截 HTTPS 流量。
问问题
264 次
2 回答
4
您可以从网站上做很多事情来防止这种情况发生。Fiddler 在客户端上运行,如果用户有足够的权限来运行它,这对于 Web 开发人员来说是无法控制的。
于 2013-05-12T07:50:37.367 回答
0
简短的回答:你无能为力。
长答案:Fiddler 通过创建一个看起来像您正在与之交谈的站点的证书来拦截 SSL 流量。为此,Fiddler 的用户必须安装受信任的证书颁发机构。一旦在 Fiddler 代理上安装了这个 CA,就能够创建看起来像是来自任何站点的“可信”SSL 证书。
如果您无法控制客户端基础架构,那么您无能为力。如果这样做,您可以阻止人们安装受信任的证书颁发机构。
一些较大的站点 (www.google.com) 能够实现证书固定,但这需要特定的应用程序支持,并且不太可能适合您。
于 2013-05-12T08:13:25.407 回答