各位观众老爷,大家好!今天咱们来聊聊 gRPC-Web 的那些事儿,尤其是关于如何扒开它的外衣,看看里面到底装了些啥。如果你曾经被 gRPC-Web 搞得头晕脑胀,不知道怎么解密它的流量,逆向它的协议,那这篇文章绝对能帮到你。 前言:啥是 gRPC-Web? 简单来说,gRPC-Web 就是 gRPC 的一个变种,专门为浏览器环境量身定制。由于浏览器天然的限制,无法直接使用标准的 gRPC 协议,所以 Google 大佬们搞出了 gRPC-Web 这么个东西。它通过一个 Envoy 之类的代理服务器,将浏览器发出的 HTTP/1.1 请求转换成标准的 gRPC 请求,然后再发送给后端的 gRPC 服务。 一、为什么要解密 gRPC-Web 流量? 你可能会问,好好的流量,干嘛要解密?原因有很多: 调试: 当你的前端和后端联调出现问题时,解密流量可以让你清晰地看到客户端发了什么,服务端回了什么,从而快速定位问题。 安全分析: 如果你需要分析 gRPC-Web 应用的安全性,解密流量是必不可少的。你可以检查客户端是否发送了敏感信息,服务端是否返回了不安全的数据等等。 协议逆向: 假设你想要 …
继续阅读“gRPC-Web 流量解密与协议逆向:如何从 Protobuf 编码的 gRPC-Web 请求中提取有效负载?”