HTTPS#

稳定性: 2 - 稳定

源代码: lib/https.js

HTTPS 是基于 TLS/SSL 的 HTTP 协议。在 Node.js 中,它作为单独的模块实现。

确定是否不支持加密#

Node.js 可能在构建时不包含对 node:crypto 模块的支持。在这种情况下,尝试从 https 导入或调用 require('node:https') 将导致抛出错误。

在使用 CommonJS 时,可以使用 try/catch 捕获抛出的错误

let https;
try {
  https = require('node:https');
} catch (err) {
  console.error('https support is disabled!');
}

在使用词法 ESM import 关键字时,只有在任何尝试加载模块之前(例如,使用预加载模块)注册了 process.on('uncaughtException') 处理程序,才能捕获错误。

在使用 ESM 时,如果代码可能在没有启用加密支持的 Node.js 构建中运行,请考虑使用 import() 函数,而不是词法 import 关键字

let https;
try {
  https = await import('node:https');
} catch (err) {
  console.error('https support is disabled!');
}

类: https.Agent#

历史
版本更改
v5.3.0

支持 0 maxCachedSessions 以禁用 TLS 会话缓存。

v2.5.0

参数 maxCachedSessions 添加到 options 用于 TLS 会话重用。

v0.4.5

添加于: v0.4.5

一个用于 HTTPS 的 Agent 对象,类似于 http.Agent。有关更多信息,请参见 https.request()

new Agent([options])#

历史
版本更改
v12.5.0

如果目标主机使用 IP 地址指定,则不会自动设置服务器名称。

  • options <Object> 要在代理上设置的可配置选项集。可以具有与 http.Agent(options) 相同的字段,以及

    • maxCachedSessions <number> TLS 缓存会话的最大数量。使用 0 禁用 TLS 会话缓存。默认值:100

    • servername <string> 要发送到服务器的 服务器名称指示扩展 的值。使用空字符串 '' 禁用发送扩展。默认值:目标服务器的主机名,除非目标服务器使用 IP 地址指定,在这种情况下,默认值为 ''(无扩展)。

      有关 TLS 会话重用的信息,请参见 Session Resumption

事件:'keylog'#
添加于:v13.2.0,v12.16.0
  • line <Buffer> 以 NSS SSLKEYLOGFILE 格式的 ASCII 文本行。
  • tlsSocket <tls.TLSSocket> 生成它的 tls.TLSSocket 实例。

当此代理管理的连接生成或接收密钥材料时(通常在握手完成之前,但不一定),会发出 keylog 事件。此密钥材料可以存储以供调试,因为它允许解密捕获的 TLS 流量。它可能为每个套接字发出多次。

一个典型的用例是将接收到的行追加到一个公共文本文件,该文件稍后由软件(如 Wireshark)用于解密流量

// ...
https.globalAgent.on('keylog', (line, tlsSocket) => {
  fs.appendFileSync('/tmp/ssl-keys.log', line, { mode: 0o600 });
});

类:https.Server#

添加于:v0.3.4

有关更多信息,请参阅 http.Server

server.close([callback])#

添加于:v0.1.90

请参阅 node:http 模块中的 server.close()

server[Symbol.asyncDispose]()#

添加于:v20.4.0

稳定性:1 - 实验性

调用 server.close() 并返回一个在服务器关闭时完成的 Promise。

server.closeAllConnections()#

添加于:v18.2.0

请参阅 node:http 模块中的 server.closeAllConnections()

server.closeIdleConnections()#

添加于:v18.2.0

请参阅 node:http 模块中的 server.closeIdleConnections()

server.headersTimeout#

添加于:v11.3.0

请参阅 node:http 模块中的 server.headersTimeout

server.listen()#

启动 HTTPS 服务器以监听加密连接。此方法与 net.Server 中的 server.listen() 相同。

server.maxHeadersCount#

请参阅 node:http 模块中的 server.maxHeadersCount

server.requestTimeout#

历史
版本更改
v18.0.0

默认请求超时时间已从无超时更改为 300 秒(5 分钟)。

v14.11.0

添加于:v14.11.0

请参阅 node:http 模块中的 server.requestTimeout

server.setTimeout([msecs][, callback])#

添加于:v0.11.2

请参阅 node:http 模块中的 server.setTimeout()

server.timeout#

历史
版本更改
v13.0.0

默认超时时间已从 120 秒更改为 0(无超时)。

v0.11.2

添加于:v0.11.2

  • <number> 默认值: 0(无超时)

请参阅 node:http 模块中的 server.timeout

server.keepAliveTimeout#

添加于:v8.0.0

请参阅 node:http 模块中的 server.keepAliveTimeout

https.createServer([options][, requestListener])#

添加于:v0.3.4 
// curl -k https://127.0.0.1:8000/
const https = require('node:https');
const fs = require('node:fs');

const options = {
  key: fs.readFileSync('test/fixtures/keys/agent2-key.pem'),
  cert: fs.readFileSync('test/fixtures/keys/agent2-cert.pem'),
};

https.createServer(options, (req, res) => {
  res.writeHead(200);
  res.end('hello world\n');
}).listen(8000);

或者

const https = require('node:https');
const fs = require('node:fs');

const options = {
  pfx: fs.readFileSync('test/fixtures/test_cert.pfx'),
  passphrase: 'sample',
};

https.createServer(options, (req, res) => {
  res.writeHead(200);
  res.end('hello world\n');
}).listen(8000);

https.get(options[, callback])#

https.get(url[, options][, callback])#

历史
版本更改
v10.9.0

现在可以将 url 参数与单独的 options 对象一起传递。

v7.5.0

options 参数可以是 WHATWG URL 对象。

v0.3.6

添加于:v0.3.6

类似于 http.get(),但适用于 HTTPS。

options 可以是对象、字符串或 URL 对象。如果 options 是字符串,它将使用 new URL() 自动解析。如果它是 URL 对象,它将自动转换为普通的 options 对象。

const https = require('node:https');

https.get('https://encrypted.google.com/', (res) => {
  console.log('statusCode:', res.statusCode);
  console.log('headers:', res.headers);

  res.on('data', (d) => {
    process.stdout.write(d);
  });

}).on('error', (e) => {
  console.error(e);
});

https.globalAgent#

历史
版本更改
v19.0.0

代理现在默认使用 HTTP Keep-Alive。

v0.5.9

添加于:v0.5.9

所有 HTTPS 客户端请求的 https.Agent 的全局实例。

https.request(options[, callback])#

https.request(url[, options][, callback])#

历史
版本更改
v16.7.0, v14.18.0

使用 URL 对象解析的用户名和密码现在将被正确地 URI 解码。

v14.1.0, v13.14.0

现在接受 highWaterMark 选项。

v10.9.0

现在可以将 url 参数与单独的 options 对象一起传递。

v9.3.0

options 参数现在可以包含 clientCertEngine

v7.5.0

options 参数可以是 WHATWG URL 对象。

v0.3.6

添加于:v0.3.6

向安全的 Web 服务器发出请求。

还接受来自 tls.connect() 的以下附加 optionscacertciphersclientCertEnginecrldhparamecdhCurvehonorCipherOrderkeypassphrasepfxrejectUnauthorizedsecureOptionssecureProtocolservernamesessionIdContexthighWaterMark

options 可以是对象、字符串或 URL 对象。如果 options 是字符串,它将使用 new URL() 自动解析。如果它是 URL 对象,它将自动转换为普通的 options 对象。

https.request() 返回 http.ClientRequest 类的一个实例。ClientRequest 实例是一个可写流。如果需要使用 POST 请求上传文件,则写入 ClientRequest 对象。

const https = require('node:https');

const options = {
  hostname: 'encrypted.google.com',
  port: 443,
  path: '/',
  method: 'GET',
};

const req = https.request(options, (res) => {
  console.log('statusCode:', res.statusCode);
  console.log('headers:', res.headers);

  res.on('data', (d) => {
    process.stdout.write(d);
  });
});

req.on('error', (e) => {
  console.error(e);
});
req.end();

使用来自 tls.connect() 的选项的示例

const options = {
  hostname: 'encrypted.google.com',
  port: 443,
  path: '/',
  method: 'GET',
  key: fs.readFileSync('test/fixtures/keys/agent2-key.pem'),
  cert: fs.readFileSync('test/fixtures/keys/agent2-cert.pem'),
};
options.agent = new https.Agent(options);

const req = https.request(options, (res) => {
  // ...
});

或者,通过不使用 Agent 来选择退出连接池。

const options = {
  hostname: 'encrypted.google.com',
  port: 443,
  path: '/',
  method: 'GET',
  key: fs.readFileSync('test/fixtures/keys/agent2-key.pem'),
  cert: fs.readFileSync('test/fixtures/keys/agent2-cert.pem'),
  agent: false,
};

const req = https.request(options, (res) => {
  // ...
});

使用 URL 作为 options 的示例

const options = new URL('https://abc:[email protected]');

const req = https.request(options, (res) => {
  // ...
});

使用证书指纹或公钥(类似于 pin-sha256)进行固定示例

const tls = require('node:tls');
const https = require('node:https');
const crypto = require('node:crypto');

function sha256(s) {
  return crypto.createHash('sha256').update(s).digest('base64');
}
const options = {
  hostname: 'github.com',
  port: 443,
  path: '/',
  method: 'GET',
  checkServerIdentity: function(host, cert) {
    // Make sure the certificate is issued to the host we are connected to
    const err = tls.checkServerIdentity(host, cert);
    if (err) {
      return err;
    }

    // Pin the public key, similar to HPKP pin-sha256 pinning
    const pubkey256 = 'pL1+qb9HTMRZJmuC/bB/ZI9d302BYrrqiVuRyW+DGrU=';
    if (sha256(cert.pubkey) !== pubkey256) {
      const msg = 'Certificate verification error: ' +
        `The public key of '${cert.subject.CN}' ` +
        'does not match our pinned fingerprint';
      return new Error(msg);
    }

    // Pin the exact certificate, rather than the pub key
    const cert256 = '25:FE:39:32:D9:63:8C:8A:FC:A1:9A:29:87:' +
      'D8:3E:4C:1D:98:DB:71:E4:1A:48:03:98:EA:22:6A:BD:8B:93:16';
    if (cert.fingerprint256 !== cert256) {
      const msg = 'Certificate verification error: ' +
        `The certificate of '${cert.subject.CN}' ` +
        'does not match our pinned fingerprint';
      return new Error(msg);
    }

    // This loop is informational only.
    // Print the certificate and public key fingerprints of all certs in the
    // chain. Its common to pin the public key of the issuer on the public
    // internet, while pinning the public key of the service in sensitive
    // environments.
    do {
      console.log('Subject Common Name:', cert.subject.CN);
      console.log('  Certificate SHA256 fingerprint:', cert.fingerprint256);

      hash = crypto.createHash('sha256');
      console.log('  Public key ping-sha256:', sha256(cert.pubkey));

      lastprint256 = cert.fingerprint256;
      cert = cert.issuerCertificate;
    } while (cert.fingerprint256 !== lastprint256);

  },
};

options.agent = new https.Agent(options);
const req = https.request(options, (res) => {
  console.log('All OK. Server matched our pinned cert or public key');
  console.log('statusCode:', res.statusCode);
  // Print the HPKP values
  console.log('headers:', res.headers['public-key-pins']);

  res.on('data', (d) => {});
});

req.on('error', (e) => {
  console.error(e.message);
});
req.end();

例如输出

Subject Common Name: github.com
  Certificate SHA256 fingerprint: 25:FE:39:32:D9:63:8C:8A:FC:A1:9A:29:87:D8:3E:4C:1D:98:DB:71:E4:1A:48:03:98:EA:22:6A:BD:8B:93:16
  Public key ping-sha256: pL1+qb9HTMRZJmuC/bB/ZI9d302BYrrqiVuRyW+DGrU=
Subject Common Name: DigiCert SHA2 Extended Validation Server CA
  Certificate SHA256 fingerprint: 40:3E:06:2A:26:53:05:91:13:28:5B:AF:80:A0:D4:AE:42:2C:84:8C:9F:78:FA:D0:1F:C9:4B:C5:B8:7F:EF:1A
  Public key ping-sha256: RRM1dGqnDFsCJXBTHky16vi1obOlCgFFn/yOhI/y+ho=
Subject Common Name: DigiCert High Assurance EV Root CA
  Certificate SHA256 fingerprint: 74:31:E5:F4:C3:C1:CE:46:90:77:4F:0B:61:E0:54:40:88:3B:A9:A0:1E:D0:0B:A6:AB:D7:80:6E:D3:B1:18:CF
  Public key ping-sha256: WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18=
All OK. Server matched our pinned cert or public key
statusCode: 200
headers: max-age=0; pin-sha256="WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18="; pin-sha256="RRM1dGqnDFsCJXBTHky16vi1obOlCgFFn/yOhI/y+ho="; pin-sha256="k2v657xBsOVe1PQRwOsHsw3bsGT2VzIqz5K+59sNQws="; pin-sha256="K87oWBWM9UZfyddvDfoxL+8lpNyoUB2ptGtn0fv6G2Q="; pin-sha256="IQBnNBEiFuhj+8x6X8XLgh01V9Ic5/V3IRQLNFFc7v4="; pin-sha256="iie1VXtL7HzAMF+/PVPR9xzT80kQxdZeJ+zduCB3uj0="; pin-sha256="LvRiGEjRqfzurezaWuj8Wie2gyHMrW5Q06LspMnox7A="; includeSubDomains