接单做网页的网站/html网页设计模板

清晰图解https如何防范中间人攻击 https://blog.csdn.net/oZhuZhiYuan/article/details/106650944
中间人可以获取站点的证书，但不能获取站点的私钥，所以无法与客户端进行密钥协商。但中间人也不是没有办法，既然获取不到站点的私钥，那索性就不用站点的证书，比如fiddler。
fiddler会使用自己的证书，而不使用站点的证书。这需要用户手动添加并信任fiddler的证书。

Android系统https抓包问题分析 https://www.cnblogs.com/jiangjunyong/p/13272164.html
如果用户缺乏安全知识，添加了攻击者颁发的证书，或者没有添加信任但是无视了安全告警，那https也无法阻止攻击。这篇文章提到了SSL pinning（也叫客户端预埋证书），消除了这个隐患。不过预埋也可以被XPosed+justTrustMe绕过，使预埋验证被跳过。（网上有的https教程，验证函数直接return true，或者是直接使用开源框架，而一些开源框架的验证函数也没写）

SSL劫持（即类似fiddler）与SSL剥离（另一种中间人攻击思路，且浏览器不会发出警告！）：
https://blog.csdn.net/shenshaojun/article/details/109121888

HSTS代表HTTP Strict Transport Security ，是国际互联网工程组织IETE正在推行一种新的Web安全协议，它是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保未来每次访问该网站都会自动定向到HTTPS，不会在无意中访问不安全的HTTP。
HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP。