小红书 App 帖子的图片都是明文传输的，网络提供者可以完全看到你浏览的实际内容

b 站也是，保存个图片因为是从 https 站点保存 http 资源，默认会被 Chrome 拦掉

http 如果想防劫持的话可以加入本地 sha256 校验就是……

@ZhiyuanLin 如果下发的 sha256 也在 http 里被篡改了呢

设备都属于终端沦陷设备了

纠结网络层意义不是很大

鱼皮们即将抵达战场。

帅锅给 AI 吧，就说是 AI 生成的，不是自己写的。

科普一下：只要客户端能够做好校验机制、传输的内容不涉及敏感信息，用 http 是没问题的，特别是在传输大尺寸文件的时候。

Debian 内置的 apt 源，默认都是 http 协议，因为有签名机制。
PlayStation 、Switch ，无论是系统更新还是下载游戏，也都是 http ，因为有签名机制。

苹果可以让用户在自己的内网部署下载缓存，如果是用 https 的话根本做不到。
https://support.apple.com/zh-cn/guide/deployment/depde72e125f/web

因为浏览器没这套东西，所以一刀切用 https 才是靠谱的。

87 楼讲得对，客户端有校验机制就好了。

再举个例子吧，微信的消息其实就是 HTTP 协议，但是内容是加密的，能说他不安全吗？

早年运营商有内鬼，存在篡改 HTML 内容，加点跳转代码，卖流量盈利。但是这玩意是图片，难道帮你替换成引流二维码？从利益的角度，没啥什么动力篡改图片、视频。

从小红书的角度，用 http 至少省了 15% 的费用。

所以完全靠信任？

居然有朋友觉得静态就可以 http …… IEC 62443 ，NIS2 ，CRA 这几年安全法规都不停在发布，感觉上面那些朋友的意思是，这个世界是吃饱了没事，生产环境要什么安全，一个图片能有多大危险。
世界已经不同了

员工 OKR：用 http 协议降低 HTTPS CDN 的成本高达 xxxxxxxxx 元

升职加薪技术荣誉奖一把梭

哪天开个公共 wifi 直接给你把连接 wifi 的人的小红书投稿图片全替换成标语就老实了。

@nulIptr #3 应该没有强制。我们之前写内部软件（校园 app ），需要直接发 http 请求，一直可以用的。也不是什么内网 IP 。

总得过网关，不管带不带 s 总能想拦总能拦，你又不是没用过花瓶抓过包

@jayin 谁告诉你微信的消息是 http 协议的，你在想什么呢，人家标准的 长链接 im 通信协议 到你嘴里成 http 了

@freezebreze 学习了新算法

那是不是可以通过中间人篡改内容，植入攻击的代码？比如中间人在图片上嵌入一些攻击代码，利用图片渲染底层逻辑的漏洞？

@wu67 银行 app 那里太真实了，每次都得关代理才能用，真 tm 费劲

试了抓包一下 iOS 上这个域名的包也是明文 http
可以直接看到图片

@orangie 找下帖子里这个域名的包 是 http 的