隔壁漏洞贴延伸，纯使用 tls 进行不可描述行为时的可行性？

看到隔壁帖子说的漏洞，就想目前应该很多人都是 +tls 后使用的，似乎实际上起保护作用的是 tls ？

既然如此，为何不直接使用 tls 呢？

刚刚动手在海外服务器上配置了一下 Nginx，

location /confused {
    proxy_pass https://$http_x_host/;
}

似乎原理上没啥问题（这不就是原来的 WebProxy 嘛），如果只是浏览器使用，似乎都不需要安装客户端（但 JS 方面体验不好）

验证上上，也可以直接使用 ngx_http_auth_basic_module ，

至此只需要做一个客户端，简单的将请求中的 Host 转换为 X-Host 就可以了？

看到 他们在 Github 上也有人提议直接使用 tls 作为保护？为何没人响应？

我自觉点，直接发到水深火热了。。。

2020-6-2 17:17:18 Update: 不死心，我挪到问与答了，等会也许又进去了。。。