备案控制台
开发者社区> 问答> 正文

如何解决HTTP(S)协议接入游戏盾后HOST不匹配问题

如何解决HTTP(S)协议接入游戏盾后HOST不匹配问题

展开
收起
保持可爱mmm 2020-04-05 21:44:57 845 0
1 条回答
写回答
取消 提交回答
  • 保持可爱mmm

    HTTP协议接入解决方案

    针对HTTP协议接入情况的解决方案相对简单。一般来说,第三方库都提供相应接口支持修改HTTP请求Header的HOST信息,只需要开发人员将HTTP Header的HOST改为对应的域名即可。

    HTTPS协议接入解决方案

    Android系统解决方案
    证书HOST校验问题

    终端在SSL握手过程中会校验当前请求URL的HOST是否在服务端证书的可选域名列表中。例如,假设原本需要请求的URL为https://a.b.com,使用服务器IP直连后实际请求的URL变成https://1.2.3.4。

    由于请求的HOST被替换成服务器IP,底层在进行证书的HOST校验时失败,最终导致请求失败。

    一般来说,系统都提供相应接口,允许终端设置证书HOST校验实现。因此,利用该接口,将底层默认实现中取终端传入URL的HOST信息(即服务器IP)替换回对应的域名即可解决证书HOST校验问题。
    JAVA代码示例:


    HostnameVerifier hnv = new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
    //示例
    if("yourhostname".equals(hostname)){ 
    return true; 
    } else { 
    HostnameVerifier hv =
    HttpsURLConnection.getDefaultHostnameVerifier();
    return hv.verify(hostname, session);
    }
    }
    };

    HttpsURLConnection.setDefaultHostnameVerifier(hnv);

    SNI问题

    由于不通过域名而是通过IP直接进行请求。这种情况下,服务端获取到的域名信息为服务器IP,因此请求报文内容中的Host信息为IP,而服务端配置了多个域名,导致无法正确选择域名。

    一般来说,系统都提供相应接口,允许终端传入自定义SSLSocketFactory,SSLSocketFactory是用来创建SSLSocket的工厂,SSLSocket是Socket协议的拓展,具有SSL握手功能,且系统提供解决SNI问题的实现类SSLCertificateSocketFactory。因此,利用该方法解决SNI问题。

    JAVA代码示例

    conn.setSSLSocketFactory(new SSLSocketFactory(){
    @Override
    public Socket createSocket(Socket s, String host, int port,boolean autoClose) throws IOException{
    SSLCertificateSocketFactory sslSocketFactory = (SSLCertificateSocketFactory)SSLCertificateSocketFactory.getDefault(0);
    SSLSocket sslSocket = (SSLSocket)sslSocketFactory.createSocket(s, realHost,port,autoClose);
    sslSocket.setEnableProtocols(sslSocket.getSupportedProtocols());
    sslSocketFactory.setHostname(sslSocket, realHost);
    return sslSocket;
    }
    });

iOS系统解决方案
    证书HOST校验问题

    在NSURLSession的证书校验代理方法URLSession:didReceiveChallenge:completionHandler中增加前置处理,将待验证的 domain由原本的服务器IP转换为其对应的域名,然后再进行后续处理。

    Objective-C代码示例

    - (void)URLSession:(NSURLSession *)session
    didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
    completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler
    {
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    NSURLCredential *credential = nil;

    // 证书验证前置处理
    NSString *domain = challenge.protectionSpace.host; // 获取当前请求的 host(域名或者 IP),假设此时为:1.2.3.4
    NSString *testHostIP = self.tempDNS[self.testHost];
    // 此时服务端返回的证书里的 CN 字段(即证书颁发的域名)与上述 host 可能不一致,
    // 因为上述 host 在发请求前已经被替换为 IP,所以校验证书时会发现域名不一致而无法通过,导致请求被取消
    // 所以,需要在校验证书前进行替换处理。
    if ([domain isEqualToString:testHostIP]) {
    domain = self.testHost; // 替换为对应域名:a.b.com
    }

    // 以下逻辑与 AFNetworking -> AFURLSessionManager.m 里的代码一致
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
    if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:domain]) {
    // 上述evaluateServerTrust:forDomain方法用于验证 SSL 握手过程中服务端返回的证书是否可信任,
    // 以及请求的 URL 中的域名与证书里声明的的 CN 字段是否一致。
    credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
    if (credential) {
    disposition = NSURLSessionAuthChallengeUseCredential;
    } else {
    disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    }
    } else {
    disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
    }
    } else {
    disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    }

    if (completionHandler) {
    completionHandler(disposition, credential);
    }
    }

    其中,关于evaluateServerTrust:forDomain方法的定义,可参考 AFNetworking中AFSecurityPolicy模块的代码,Objective-C代码示例如下所示。

    - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain {
    // 创建证书校验策略
    NSMutableArray *policies = [NSMutableArray array];
    if (domain) {
    // 需要验证请求的域名与证书中声明的 CN 字段是否一致
    [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
    } else {
    [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
    }

    // 绑定校验策略到服务端返回的证书(serverTrust)
    SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);

    // 评估当前 serverTrust 是否可信任,
    // 根据苹果官方文档 https://developer.apple.com/library/ios/technotes/tn2232/_index.html
    // 当 result 为 kSecTrustResultUnspecified 或 kSecTrustResultProceed 的情况下,serverTrust 可以被验证通过。
    SecTrustResultType result;
    SecTrustEvaluate(serverTrust, &result);
    return (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);
    }

    SNI问题

    通过使用基于原生支持设置SNI字段的更底层的库(libcurl),解决SNI问题。

    Objective-C代码示例

    //{HTTPS域名}:443:{IP地址}
    NSString *curlHost = ...;
    _hosts_list = curl_slist_append(_hosts_list, curlHost.UTF8String);
    curl_easy_setopt(_curl, CURLOPT_RESOLVE, _hosts_list);

    其中,curlHost形(如{HTTPS域名}:443:{IP地址},_hosts_list)是结构体类型hosts_list,可设置多个IP与Host域名间的映射关系。通过在curl_easy_setopt方法中传入CURLOPT_RESOLVE,将该映射设置到HTTPS请求中,即可达到设置SNI的目的
    2020-04-05 21:45:40
    赞同 展开评论 打赏
问答分类:
游戏盾
问答标签:
HTTP协议 HTTPS协议 HTTP host HTTP如何解决 HTTPS host
问答地址:
开发者社区 > 云计算 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
阿里函数计算中使用中遇到个问题,HTTP函数内获取不到当前请求的Host信息怎么解决?
75
3
0
Nacos漏洞修复-检测到目标URL存在http host头攻击漏洞什么问题?
22
1
0
在运行modelscope-funasr1.0的HTTP server时对象不可调用,该如何解决?
64
1
0
客户datav渗透测试发现存在“http host头攻击漏洞”,用的v4.9.7的版本,有修复过的?
162
2
0
web service中当发送者是ftp上的协议,而接受者是http上的协议时该怎么办呀?
1415
1
0
http协议中客户端和服务端之间的请求会发生什么呢?http session对象可维护什么?
676
1
0
集群中做负载均衡有什么麻烦的事情?http协议有状态吗?
701
1
0
云端接口走的什么协议 ?http tpc ? grpc ?socket?
496
1
0
为什么说HTTP无状态的协议呀?
617
1
0
HTTP是有状态还是无状态的协议呢?
770
1
0
问答排行榜
最热
最新
1 通过阿里云代备案系统进行个人快速备案 2699967
2 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1818367
3 据说在家办公的程序员是这样写代码的? 1792409
4 阿里云开放端口权限 689954
5 如何升级配置 536086
6 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522491
7 【精品问答】python技术1000问(1) 514018
8 Flink Forward Asia 2021 有奖问答 512822
9 Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案) 456932
10 OceanBase 使用动画(持续更新) 359283
11 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329732
12 OSS存储服务-客户端工具 321366
13 为体验实验室取一个新名字。 307349
14 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 303895
15 Win Server 2003-2016 加密勒索事件必打补丁合集 295179
16 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 283711
17 安全组详解,新手必看教程 277269
18 写code还是做管理,开发者如何进行职业规划? 268543
19 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255838
20 阿里云手机和阿云浏览器连接问题专帖 235642
1 使用PAI-快速开始,低代码实现大语言模型微调和部署,并分享配置过程、输出结果及使用体验 146
2 展示你用FaceChain-FACT生成人物写真,并分享配置过程、输出结果及使用体验 154
3 结合自己的项目上云经历,分享部署过程及体验 295
4 丹青-千变万换,体验图片局部内容替换,分享使用过程、输出结果及使用体验 523
5 使用PAI-EAS一键部署ChatGLM,并应用LangChain集成外部数据 588
6 使用通义灵码冲刺备战求职季,你有哪些深刻体验? 719
7 分享出你的「松弛感工作」必备AI技能,并展示使用效果 862
8 “AI+作业”,是辅助还是颠覆? 352
9 乘风问答官七月排位赛开启!CHERRY樱桃MX2.0S无线键盘等好礼等你赢~ 212
10 通用大模型VS垂直大模型,你倾向于哪一方? 435
11 如何破除工作中的“路径依赖”? 427
12 宜搭自定义页面,如何实现这样的效果,请帮忙给一个实例 170
13 一键生成你眼中的未来城市,分享部署过程、输出结果及使用体验 1173
14 展示你用AI工具生成动漫头像,并分享配置过程及使用体验 734
15 通义灵码:该账号暂无通义灵码使用权限,可更换其他有权限的账号。或联系企业管理员获取使用权限。 120
16 ModelScope有部署qwen2-72b的么,正常推理需要多大的显存? 358
17 国内AI大模型高考数学成绩超GPT-4o,如何看待这一结果? 892
18 如何避免“写代码5分钟,调试2小时”的尴尬? 1046
19 通义灵码生成Git Commit的时候,偶尔生成中文,偶尔生成英文,根本无法控制生成的语言。 323
20 通义灵码登录失败,提示通义灵码域名无法解析 238

相关课程

更多
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
    1507
    17
    去学习
  • 云安全基础课- HTTP协议基础
    1237
    4
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • 如何有效处理游戏被攻击问题
  • 如何用sketch做交互并导出成html
  • 游戏被攻击该怎么办?游戏盾该如何使用,游戏盾如何防护攻击
  • 我的游戏服务器被攻击了怎么办,有什么方案解决?
  • 什么叫应用加速,什么情况需要用到应用加速

    • 相关电子书

    更多
    • 阿里巴巴HTTP 2.0实践及无线通信协议的演进之路 立即下载
    CDN助力企业网站进入HTTPS时代 立即下载
    阿里巴巴HTTP2实践及无线通信协议的演进之路 立即下载

    相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
    60
    1.0小时
    去实验