http2.0 是否能缓解运营商劫持？

已知的浏览器只有 https 支持 http2，所以是可以防劫持。

目前的浏览器实现，HTTP2.0 都是密文的，所以可以解决运营商内容劫持的问题。

https 就防篡改（也就是劫持）

1、2 楼也请看看基础书籍

明文 http2 一定程度上可以，因为我相信运营商不会开发这个技术的，为什么呢？因为 http2 明文只是 RFC 支持，实际上浏览器是必须 http2 + tls 的。

tls （ https ）可以防劫持。

@rrfeng 意思就是并不需要 http2 tls 就完全可以防劫持了是吧。。。好像 http2 没普及

HTTP 2 在 HTTPS 上是可以防止劫持的。没有开 HTTP 2 的 HTTPS 也可以防止劫持。

@mengzhuo 他们也并没有说错，也不需要看基础书籍。

@mengdisheng
除非你自己实现，现在并没有支持不带 tls 的 http2 客户端可以用。

私钥不泄露就没法劫持

不过可以反过来做 ssl 卸载

@msg7086 #6

https 里的 s 是 TLS （传输层安全 4 层的），HTTP 不管第几版都是应用层（ 7 层）的。

只是现在浏览器的 http2 实现要求用 TLS 而已，但是这里的概念不能搞混，不然真·笑掉大牙。

@mengzhuo
一楼 「已知的浏览器只有 https 支持 http2 」
二楼 「目前的浏览器实现，HTTP2.0 都是密文的」

说的和你最后一段不是一样？

@rrfeng
@yingfengi
看来你们还没遇到过替换证书的劫持，广东佛山电信会劫持 tls，强硬替换证书插入 js 劫持剪切板（目前测试仅限 Android ）

@mengzhuo #10 :doge:

@mengzhuo 人家都说了目前浏览器支持的 http2 是基于 https 的，所以可以防止劫持。哪部分有问题需要看书回炉？

@anheiyouxia 还有替换证书这操作？不是中间人攻击吗？ HSTS 也能劫持？

@anheiyouxia 替换证书不是得你先信任他的第三方证书吗？不然这波操作如何进行

@anheiyouxia 我擦 真的假的 替换证书是什么操作。。感觉理论上不好实现啊

@mengzhuo #3 看起来我不需要说什么了...


@anheiyouxia #12 浏览器直接报证书错误？这么搞太明显了吧？或者电信搞定了根证书机构？

@msg7086 #11

1、2 楼逻辑不通看着着急

1. 应该是“目前已知的支持 http2 的浏览器只能用 https ”
2. http2 只是应用协议，没有加密的说法（ HPACK 也算的话算我输……），所以不能说 HTTP2.0 都是密文

@anheiyouxia #12 这是国产手机的 CA 库被黑了吧，如果是哪个 CA 敢这么发证书，早八年上黑名单了