@nilai 感谢你再次出来证明,我对你的需求理解是正确的.

你最后说的打算采用 ECDH 的密钥交换, 其实与你用 RSA 加密 加密 key 再将加密结果传递给服务器,服务器从加密结果中还原出来加密 key 是一样的道理.

ECDH 的前提也是在客户端放 服务器是公钥, 而 RSA 也是 =,=
而且 ECDH 还需要将客户端的公钥告诉服务器类(可以想像成 RSA 加密后的结果),
然后服务器根据客户端的公钥和自己的私钥算出来一个 共享密钥(服务器解 RSA 得到加密 key).

套路都是一样的, 只是换了一种算法而已.

@pubby 没有, 楼主的本意应该只是探讨一下, 在非 HTTPS 以及不考虑 内容被篡改的情况下, 有什么好的方法
防止被其他人监听到传输的原始内容.

<<暂时不考虑中间人篡改内容， 只防中间人监听，解密出内容。>> 这是楼主的原话.

@Hardrain 自己往上看看楼主在 #5 #8 #13 #18 楼回复的内容, 好吗?

楼主强调了四次 <<暂时不考虑中间人篡改内容， 只防中间人监听，解密出内容。>> 好吗?

是谁在 "死搅蛮缠" ?

@Hardrain 也不知道是谁听不懂话?

@Hardrain 篡改公钥 不是篡改吗? 麻烦你去前面看清楼主的要求好吗?

楼主在上面 强调了好几次, 只考虑防窃听不考虑篡改, 可还有一堆上人, 在往 篡改数据上面扯.

@Hardrain 看清楼主要讨论的内容好吗?

都说了 只考虑防窃听到原始数据(未加密前的内容, 上面的例子中服务器返回的 Hello Client 的那段), 不考虑篡改.

@Hardrain 还是用代码来说话吧.
演示地址: https://xqin.net/http/
源代码: https://github.com/xqin/http_encrypt_demo

查看演示的时候, 可以打开控制台, 看 Network 中的请求及响应,
请以窃听者的身份, 根据请求和响应的内容, 得到服务器返回的原始数据.
> PS: 客户端收到的原始数据会在页面中输出, 以便你检测你自己还原出来的和服务器返回的是一样的.
>> 再再 PS: 如果觉得演示是放在 HTTPS 的站点上有问题的话, 可以自己 clone 一下源码,然后在你本地部署一份,
>>> 然后用 Fiddler 做为 HTTP 代理(窃听者), 根本 Fiddler 里捕获到的数据, 还原输出服务器返回的原始数据.

@Hardrain 我上面说的传输的内容用算法进行加密, 你完全忽略了?

@Hardrain 允许 窃听到内容呀, 但只要能保证不被解密得到原文就可以了.

@Hardrain 看清楼主的假设好吗? 只考虑监听, 不考虑篡改内容.

基于这个假设的条件下, 服务器先下发 RSA 公钥, JS 生成一个用于加密的 KEY,
然后对要进行提交的数据使用生成的 KEY 加密,
使用 RSA 算法对 KEY 进行加密, 将 RSA 的结果和要传递的数据的加密结果一起传给服务器,服务器自己解 RSA 之后,用 KEY 解加密数据, 即可.

其实楼主的问题, 要解决很简单嘛, 约定一个算法.
比如 QQTEA https://github.com/xqin/qqtea

浏览器随机生成加密 KEY, 然后用 RSA 加密, 发给服务器,
服务器 用同样的算法 (PHP 版的 QQTEA https://github.com/xqin/qqtea.php), 使用相同的 KEY 来进行加密,
加密后的内容返回给浏览器, 这样 key 在传输的过程中是加密的, 且 服务器回来内容的时候只有加密后的内容.
这个 key 只有 浏览器和服务器 俩人知道.

所以就达到了保密的目的.

curl 的执行结果截图:

http://ww4.sinaimg.cn/large/0060lm7Tgy1fd0fa9fq35j31kw02u3z5.jpg

@bozong 你用的工具有问题吧? 或者 你的 ip 已经 被封了?
我上面发的 curl 的命令,你没执行一下试试?
因 V2EX 上面帖图片不太方便, 我就不帖 curl 执行结果的截图了.

curl 执行之后后面的代码是
```
| grep -Po "\"sellCount\":\d+,"
```
用来匹配出来 销量, 上面帖代码的时候换行了, 最后 一行是 最终的输出结果.

同学,你搞错 URL 了吧?
你第一张图里明明是 `initItemDetail.htm` 这个 URL, 而你第二张图请求另一个地址是啥意思?

你不是想获取 销量吗?

只需要 设定 Referer 就可以请求到数据 .

```
$ curl -se "https://detail.tmall.com/item.htm" "https://mdskip.taobao.com/core/initItemDetail.htm?itemId=543399704177&callback=setMdskip" | grep
-Po "\"sellCount\":\d+,"
"sellCount":8308,

```

@famanoder 大哥，你的网站有漏洞呀。。。

看你的文章都被清空了（仅在列表里没显示，实际上文章还存在，请自行恢复）
https://www.famanoder.com/bokes

> PS ： 大部分玩 nodejs 的前端都没有安全意识， 注意是大部分，请不要对号入座 :P

@jinyang656

https://git-scm.com/docs/git-config#git-config-pushdefault

`git config -l | grep push.default` 看后面的值, 然后与上面网页中的解释对应一下,你就知道为啥了.