除了 https，有什么防止网络监听的成熟方案

最近写了个小项目， 要求不用 https （丫的，就是这么奇葩）， 要求保证通信的安全， 防窃听

浏览器 ----> 服务端 （这个倒好做， RSA 浏览器公钥加密, 服务端私钥解密。中间人没有私钥，就算窃听到数据也解密不出来）。


服务端 ------> 浏览器 （目前仅应付一下 就是 服务端发送数据时 AES 加密， 浏览器 AES 解密， 这样明显的缺点就是中间人分析一下网页，就知道 AES 的 KEY,然后就能解密出对应的数据了，因为不管怎么着， 数据都得在浏览器正常展示出来）

后来觉得 DH 算法应该可以， 但是实现过程略显麻烦，对 web 类的纯 HTTP 应用不是很适合，


说了这么多， 求指教。