在没有 ssl 的情况下运行代理应用程序的安全问题?

【问题标题】:security issues running a proxied app without ssl?在没有 ssl 的情况下运行代理应用程序的安全问题?
【发布时间】:2025-12-26 05:35:17
【问题描述】:

我有一个使用 express 创建的 nodejs 应用程序,用于在我的网站上提供页面。然后应用程序由 apache 代理,以便使用 url

https://mycooldomain.com/folder

我有我的节点 js 应用程序。

在 Apache 我有

ProxyPreserveHost On
SSLProxyEngine On
ProxyPass /folder http://mycooldomain.com:4242
ProxyPassReverse /folder http://mycooldomain.com:4242

Node 和 Apache 目前在同一台机器上,所以我希望在这方面使用 http 不是问题。 与最终用户打交道时是否需要担心? mycooldomain.com 已通过 ssl 得到适当保护,但我不想使用此 http 代理创建安全漏洞。

【问题讨论】:

    标签: node.js http-proxy apache2.4


    【解决方案1】:

    我认为虽然 只有 Apache 服务器可以访问您的 Express 应用程序,但没关系。 HTTPS 协议保护客户端和服务器之间传输的数据,您已经拥有它。恕我直言,除非有人可以访问您的服务器,否则您的 Apache 服务器和您的 Express 应用程序之间的通信是不可见的。

    但是当人们可以直接访问您的 Express 应用程序而无需通过您的 Apache 时,就会出现问题。如果还没有出现这种情况,您可能需要添加防火墙规则来阻止它。

    【讨论】:

    • 4242 端口从外部关闭,所以这不是问题。所以你是在告诉我来自 express 的未加密流量总是由 apache 加密?没有人可以利用此 http 到 https 转换的选项?
    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式