作为一名网络安全工程师，我经常遇到开发人员在Python中处理HTTPS请求时需要"临时"跳过证书验证的情况。虽然这种做法在某些测试场景下确实方便，但如果处理不当，可能会给系统带来严重的安全隐患。今天我就用大白话带大家全面了解Python中跳过HTTPS证书验证的各种方法、适用场景以及背后的安全风险。

一、为什么需要跳过HTTPS证书验证？

HTTPS证书就像网站的身份证，它确保了：

1. 你连接的是真正的目标网站(不是钓鱼网站)

2. 传输的数据是加密的(不会被中间人窃听)

但在某些特殊情况下，我们可能需要暂时绕过这个检查：

典型场景举例：

- 测试环境使用自签名证书(公司内部测试服务器)

- 爬虫遇到证书过期的老网站

- 快速原型开发阶段

- 连接某些使用非标准证书的设备(IoT设备)

```python

一个会报证书错误的普通请求示例

import requests

response = requests.get("https://expired.badssl.com")

这里会抛出SSLError异常

```

二、Python中跳过HTTPS验证的5种方法

方法1：requests库设置verify=False（最常用）

简单粗暴地关闭所有验证

response = requests.get("https://expired.badssl.com", verify=False)

会收到警告，可以这样关闭警告

import urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

安全问题：

这就好比你不检查司机的驾照就上了出租车，完全不知道对方是不是正规司机。

方法2：自定义适配器（更精细控制）

from requests.adapters import HTTPAdapter

from requests.packages.urllib3.util.ssl_ import create_urllib3_context

class InsecureAdapter(HTTPAdapter):

def init_poolmanager(self, *args, **kwargs):

context = create_urllib3_context()

context.check_hostname = False

context.verify_mode = False

kwargs['ssl_context'] = context

return super().init_poolmanager(*args, **kwargs)

session = requests.Session()

session.mount("https://", InsecureAdapter())

response = session.get("https://self-signed.badssl.com")

方法3：使用环境变量（全局影响）

import os

os.environ['PYTHONHTTPSVERIFY'] = '0'

影响整个Python进程

import requests

response = requests.get("https://untrusted-root.badssl.com")

注意：

这相当于给你的整个程序开了个后门，所有网络请求都不检查证书了！

方法4：修改默认上下文（适合高级用户）

import ssl

custom_ctx = ssl.create_default_context()

custom_ctx.check_hostname = False

custom_ctx.verify_mode = ssl.CERT_NONE

response = requests.get("https://wrong.host.badssl.com",

verify=custom_ctx)

方法5：使用curl_cffi模拟浏览器（对抗反爬）

pip install curl_cffi

from curl_cffi import requests as cffi_requests

response = cffi_requests.get(

"https://tls.peet.ws/api/all",

impersonate="chrome110"

)

三、安全风险与专业建议

真实案例警示：

2025年某金融公司内部系统被入侵，就是因为测试代码中的`verify=False`被误部署到了生产环境，导致攻击者能够实施MITM(中间人攻击)。

专业建议解决方案：

1. 测试环境专用方案

```python

只针对特定域名禁用验证

import requests

session = requests.Session()

session.verify = True

默认开启

只为测试域名关闭验证

if "test.example.com" in url:

session.verify = False

response = session.get(url)

```

2. 自签名证书的正确处理方式

将自签名证书加入可信列表

response = requests.get(

"https://internal-server.example.com",

verify="/path/to/internal-ca.pem"

)

3. 生产环境的黄金法则

- ??永远不要禁用主机名检查(`check_hostname=True`)

- ??优先修复服务器端的证书问题而非客户端绕过

- ??使用certifi维护最新的CA根证书库

四、网络安全工程师的特别提醒

当你考虑跳过证书验证时，先问自己几个问题：

1. 这是暂时的测试需求还是长期方案？

2. 是否可能泄露敏感数据？(如用户密码、API密钥)

3. 是否有更安全的替代方案？(如正确配置本地CA)

记住一个好的原则："在开发时可以方便优先，但上线前必须安全第一"。希望能帮助你在便利性和安全性之间找到平衡！

TAG:python https 跳过证书,python爬虫绕过验证码,python接口自动化跳过验证码,python跳过后续命令,python unittest 跳过用例