https能被攔截嗎

https的資料也可能被攔截

HTTPS 的資料是加密的，常規下抓包工具代理請求後抓到的包內容是加密狀態，無法直接檢視，但經過一些攻擊可以實現中間人攻擊

過程原理：

本地請求被劫持（如DNS劫持等），所有請求均傳送到中間人的伺服器

中間人伺服器返回中間人自己的證書

客戶端建立隨機數，通過中間人證書的公鑰對隨機數加密後傳送給中間人，然後憑隨機數構造對稱加密對傳輸內容進行加密傳輸

中間人因為擁有客戶端的隨機數，可以通過對稱加密演算法進行內容解密

中間人以客戶端的請求內容再向正規網站發起請求

因為中間人與伺服器的通訊過程是合法的，正規網站通過建立的安全通道返回加密後的資料

中間人憑藉與正規網站建立的對稱加密演算法對內容進行解密

中間人通過與客戶端建立的對稱加密演算法對正規內容返回的資料進行加密傳輸

客戶端通過與中間人建立的對稱加密演算法對返回結果資料進行解密

由於缺少對證書的驗證，所以客戶端雖然發起的是 HTTPS 請求，但客戶端完全不知道自己的網路已被攔截，傳輸內容被中間人全部竊取。