问客户端是否有办法查看由NGINX反向代理设置的标头？

EN

..。一个袭击者..。

没有通用攻击者，也没有通用攻击目标。如果您指的是在代理前面的攻击者，那么他们将无法访问API密钥，前提是“API不会做任何傻事”。

如果攻击者可以破坏代理，或者可以使用代理中的信息泄漏来访问密钥，那么攻击者就可以访问密钥。如果有可能破坏代理，或者如果存在密钥泄漏的信息泄漏是未知的，只是根据您的描述。

此外，如果攻击者在代理和API之间，他们可能也能够访问API密钥，这取决于代理和API之间的连接在多大程度上防止MITM攻击。

如果使用https，则连接通过SSL/TLS。在这种情况下，SSL/TLS为所有请求头和响应头提供了真实性、完整性和保密性，就像对请求主体和响应主体一样。只有SSL/TLS连接的端点可以看到这些连接的明文；而且(就所有意图和目的而言)它们都是安全的，不受MITM攻击者的窃听和篡改。

API中存在服务器端漏洞，使得攻击者能够读取请求标头。例如，注入脆弱性允许攻击者生成代码在服务器上运行。可以对此进行调整，以查看请求头。要减轻这一点(以及其他潜在的漏洞)，请通过OWASP安全测试指南获取您的API。另外，为您的API在OWASP上处理任何特定于平台的项。

海事组织，我不太关心MITM的攻击技术。由于HTTPS的安全性是如此容易部署，因此应该已经减轻了这一问题。确保你在使用安全协议和密码！此级别上的攻击表示远更大的问题。不是说它不会发生；只是说有人将自己插入到您的web代理和API之间意味着一个严重的事件；比简单地读取HTTP请求头更严重，因为它们可以访问所有的东西。