Tag: security

公司网络能审计 HTTPS 访问记录，并非”破解了加密”，而是利用了 TLS 握手阶段明文传输的 SNI（Server Name Indication）。

原理

在 HTTPS（即 TLS）连接中，代理/防火墙无需解密流量，也无需建立 CONNECT 隧道，只需旁路观察 TLS 握手的第一个 ClientHello 报文。

TLS 握手流程（简化）

1. TCP 三次握手
2. 客户端发送 ClientHello（明文）
3. 服务器响应 ServerHello
4. 后续加密通信

ClientHello 中的 SNI

ClientHello 是未加密的明文数据，其中包含扩展字段。SNI 格式如下：

Extension: server_name
Hostname: example.com

代理/防火墙只需解析这个明文握手包，即可获取目标域名，无需：

• 解密 TLS 流量
• 建立了 CONNECT 隧道（传统 HTTP 代理模式）

SNI 是 TLS 扩展，用于解决单 IP 多域名场景。客户端必须在 ClientHello 中明文告诉服务器想访问的域名，否则服务器无法选择正确证书。

审计边界

• ✅ 能看到：目标域名（SNI）、目标 IP、连接时间、流量大小、连接时长
• ❌ 不能看到：URL 路径、查询参数、HTTP Header、页面内容、POST 数据

HTTPS（TLS）保护的只是 HTTP 请求内容（路径、Header、Body），但不会隐藏目标域名和 IP 等元数据。

防御方式

• ECH（Encrypted Client Hello）：TLS 1.3 扩展，使用 DNS 公钥加密 SNI
• DoH/DoT：防止 DNS 查询泄露，但无法阻止 SNI 泄露

更彻底的审计：HTTPS 中间人解密（MITM）

企业可在终端安装根证书，代理动态生成假证书解密流量。但已不属于纯 CONNECT 透传。

根据 2026 年最新实测数据，简单有效的 email 地址防爬虫方法：

纯文本 email

方法	阻止率
无保护	0%
HTML Entities	95%
HTML 注释	98%
HTML SVG	100%
CSS display: none	100%
JS 拼接	100%
JS 转换 (自定义函数)	100%
JS AES 加密	100%

可点击 mailto 链接

方法	阻止率
无保护	0%
HTML Entities	100%
URL 编码	96%
HTTP 重定向	100%
HTML SVG	100%
JS 拼接	100%
JS 转换	100%
JS AES 加密	100%

推荐方案

最简单且有效：CSS display: none + 变化诱饵标签

<div class="email">ad@<span>email.</span>spencermortensen.<span>example.</span>com</div>

div.email > span:nth-child(2) { display: none; }

无 JS 依赖，完全无障碍可用。

推荐方案：JS 转换（自定义函数）

<span id="email">zibby example com</span>

const map = { zibby: 'hello', example: 'gmail', com: 'com' };
// 自定义转换逻辑

原理：HTML 源码只有乱码，需要在浏览器端用 JS 转换才能得到真实 email。

最强方案：JS AES 加密（需 HTTPS）

<span class="email">Kreuz2xa6xB8Fpjaa0lFgACNLO6n_Auu1CGjcG8z_Ec</span>

使用浏览器内置 SubtleCrypto 进行 AES-256 加密。

不推荐（破坏可用性）

• 符号替换 (ag AT email DOT com) - 用户需手动还原
• 图片 - 无法复制、屏幕阅读器无法读取
• CSS content - 文本不可选中
• CSS 文字方向反转 - 复制后是反的

关键发现：大多数爬虫很简单，即使最基础的混淆技术也能阻止 95% 以上的爬虫。建议组合使用多种技术。

来源: Email obfuscation: What works in 2026?