作为Node.js开发者，你可能遇到过这样的场景：测试环境用自签名证书时控制台疯狂报错，或者对接老旧系统时遇到证书过期问题。这时候「跳过HTTPS证书验证」就成了救命稻草——但你知道这其实是在网络安全边缘疯狂试探吗？今天我们就用「庖丁解牛」的方式，把这个看似简单实则暗藏玄机的操作讲透。

一、为什么Node.js默认要检查HTTPS证书？

想象你要给隔壁老王转账，银行柜员却告诉你："不用核对身份证了，他说他是老王就行"。这显然不合理对吧？HTTPS证书就像数字世界的身份证：

- CA机构相当于公安局（比如Let's Encrypt）

- 证书指纹就像身份证号

- 有效期类似证件过期时间

Node.js的`https`模块默认会做三重检查：

1. 证书是否由可信CA签发（查发证机关）

2. 域名是否匹配（核对姓名）

3. 是否在有效期内（看过期时间）

```javascript

// 标准的安全请求示例

const https = require('https');

https.get('https://example.com', (res) => {

// 正常处理逻辑

});

```

二、什么情况下需要跳过验证？（危险场景剖析）

█ 场景1：开发测试环境

当使用自签名证书时会出现：

Error: self signed certificate in certificate chain

就像用自己画的"员工卡"进公司门禁，系统当然会报警。

█ 场景2：老旧系统对接

遇到证书过期的遗留系统：

Error: certificate has expired

好比发现合作方代表的身份证已经过期三年。

█ 场景3：中间人攻击测试

安全人员常需要模拟攻击：

```bash

用Burp Suite抓包时会看到

ERR_CERT_AUTHORITY_INVALID

三、跳过验证的三大方法（附风险说明）

?? 方法1：核武器式禁用（极度危险）

process.env.NODE_TLS_REJECT_UNAUTHORIZED = '0';

这相当于告诉Node.js："以后所有HTTPS请求都别检查身份证了"。后果是：

- 整个应用的请求都不安全

- 会泄露敏感数据

- 适合临时测试，用完务必删除

?? 方法2：针对性禁用（中度危险）

const agent = new https.Agent({

rejectUnauthorized: false // 仅对该agent生效

https.get('https://example.com', { agent }, (res) => {});

这像是说："就这次转账不用核对老王身份证了"。风险在于：

- 依然可能被中间人攻击

- 需确保仅在非生产环境使用

?? 方法3：白名单式信任（相对安全）

const caCert = fs.readFileSync('./my-custom-cert.pem');

ca: caCert // 只信任指定证书

好比银行说："除了张局长担保的人，其他都要严格核查"。这样做：

- 安全性显著提升

- 适合长期对接内部系统

四、更安全的替代方案（强烈推荐）

? 方案1：本地安装自签名证书

Linux/macOS

sudo cp my-cert.pem /usr/local/share/ca-certificates/

sudo update-ca-certificates

Windows双击.crt文件安装到受信任根证书颁发机构」

? 方案2：使用mkcert工具生成可信证书

brew install mkcert

macOS安装

mkcert -install

创建本地CA

mkcert example.com

生成可信证书

?方案3：容器化环境特殊处理

Docker环境下可以这样操作:

```dockerfile

Dockerfile片段

ENV NODE_EXTRA_CA_CERTS=/usr/src/app/certs/custom-ca.pem

COPY ./certs /usr/src/app/certs

五、血的教训：真实安全事故案例

2025年某跨境电商就曾因测试代码泄漏导致灾难:

1.开发在代码中写了`rejectUnauthorized:false`

2.该配置被意外打包进生产环境APK

3.黑客利用该漏洞窃取200万+用户支付信息

事后排查发现:

? API请求全部走代理服务器被监听

? APP没有实现证书锁定(certificate pinning)

? DevOps流程缺少安全扫描环节

六、最佳实践清单

??生产环境永远不要禁用验证

??测试代码必须添加明显警告注释

??使用node-config等工具区分环境配置

??考虑使用winston等日志库记录异常请求

最后记住网络安全黄金法则:便利性与安全性永远成反比。看完这篇如果你还是决定要跳过验证——至少现在你知道自己冒的是什么风险了。

TAG:让nodejs不检查https证书,nodejs代码提示,nodejs测试,nodejs配置ssl证书