💬 New comment on Xray-core#5645 XDRIVE transport: The first remote-storage-service-based proxy, ignoring IP whitelists
by @RPRX

> 我打算每 500ms 新建一个文件，服务端会读取 10s 内新创建的文件并删掉 10s 以前的文件，两端的 idle timeout 也为 10s（由于强制使用 mux，连续 10s 收不到对方的数据包的概率极低），且我自己不打算使用 Google Drive 去测试，而是使用本机文件系统测试，写一个 interface 具有登录、上传、查询列表、下载、删除功能，与网盘 API 的整合则交给你们去实现

Reply to this message to post a comment on GitHub.

写得清清楚楚的就是不看，任意 SNI 的 domain fronting 仍被支持，比如说你要以 example.com 的 SNI 访问 fastly，默认证书是 fastly.com，配置 "verifyPeerCertByName": "fastly.com" 即可

正经网站要么没有默认证书要么放合法的，不会放自签，若真是自签的话用 ./xray tls ping 探测然后 pinnedPeerCertSha256 即可

💬 New comment on Xray-core#5645 XDRIVE transport: The first remote-storage-service-based proxy, ignoring IP whitelists
by @RPRX

群里有一个~~致力于帮助土库曼斯坦的俄语群友~~提到了 domain fronting（任意 SNI 但目标网站只看内层 HTTP host），~~我突然觉得 XDRIVE 有大用处~~，因为众所周知除了 fastly 外绝大多数 CDN 是不支持这个的，**但是其它网站基本上都有默认证书且只看内层 HTTP host**，XDRIVE 将只自动填写 HTTP host，连接目标为 address，且使用 TLS 处填的 SNI、verifyPeerCertByName、是否 h3 等

~~这下完美融入 Xray-core 的框架了~~

Reply to this message to post a comment on GitHub.

今天早上，准备离开泉州，泉州是我旅行的其中一站，我是故意选择泉州旅行去体验传说中的白名单的，（上一站是漳州，所有自建节点完全正常）。

个人认为，泉州白名单确实存在，不是传说，客户端用 QuantumultX ，我实测的结果如下：

1.）只针对用域名+TLS 的翻墙，所有 CDN 阵亡、所有 WS+TLS 、XTLS Vision(TCP)、TLS+TCP 阵亡。

2.) 非白名单网站，无论套了 CF CDN / AWS CDN 还是直连，就算用普通浏览器打开 https://也打不开，(最简单用自己的域名试便知道了）。

3.）非 TLS 翻墙，例如 SS2022 / VMESS / VMESS+WS （过 AWS CDN)，无论用域名还是 IP 都可以正常使用。

4.）偷白名单网站证书的 Reality ，能够正常使用。

5.） DNS 无论是境外还是自建的 DOH ，全部阵亡，但我自建的境外 DOQ 能用，(走 udp 443 端口）..

希望对大家了解泉州白名单有所帮助。

非tls反而正常

reality赢

AI 还没有看到后面我写的“不正经用法”，我再解释下：

1. 绝大多数网站支持 domain fronting（CDN 一般只支持同一个账号下的），再加上大站都有 anycast 提供了合理性，也就是说比如即使 SNI www.googleapis.com 被封，你使用 www.google.com 作为 SNI 也能连上，审查者看不到内层 HTTP host 所以无法阻断连接，除非封掉整个 IP，附带伤害拉满
2. 绝大多数网站的 TLS 配置，若 SNI 不存在于服务器上则会返回“默认证书”，也就是说你甚至可以使用 www.example.com 作为 SNI，然后 verifyPeerCertByName，审查者需要实时维护一份庞大、精确的 IP-SNI 列表才能封掉这种方法（CDN 的话只有少数比如 fastly 支持这种任意域前置）
3. XDRIVE 理论上可以利用任何网站而不止是“正经远程存储服务”，比如伊朗能用 ChatGPT，那么完全可以把流量 base64 后作为草稿写入、另一端读取，所以审查者搞 IP 白名单已经没用了，想要封掉 XDRIVE 只能完全断外网

Dear friends!

The Chinese New Year is just around the corner.
On this festive occasion, we’d like to remind you that if you have the desire and the means, you can support and delight the xray developers for the work they’ve done by showing your appreciation in any way that’s convenient for you.

https://xtls.github.io/about/sponsor.html

Even the smallest gesture of support can become part of the big holiday spirit ❄️🌲🐎🔥

Latest: https://github.com/XTLS/Xray-core/releases/tag/v26.2.6

新增了 XHTTP 的一些选项，Finalmask UDP 的 XICMP、XDNS 等

Xray-core HTTP 请求的 User-Agent 均由 Go 改为动态 Chrome

你甚至可以给 WireGuard 套上 Salamander、header-*、XICMP

延时自动禁用 TLS 的 allowInsecure（UTC 2026.6.1 00:00），请使用 pinnedPeerCertSha256 和 verifyPeerCertByName 代替，分享链接标准已更新 pcs、vcn，订阅加上它们即可同时兼容新旧版本

- TRX(Tron)/USDT/USDC: TNrDh5VSfwd4RPrwsohr6poyNTfFefNYan
- TON: UQApeV-u2gm43aC1uP76xAC1m6vCylstaN1gpfBmre_5IyTH
- BTC: 1JpqcziZZuqv3QQJhZGNGBVdCBrGgkL6cT
- XMR: 4ABHQZ3yJZkBnLoqiKvb3f8eqUnX4iMPb6wdant5ZLGQELctcerceSGEfJnoCk6nnyRZm73wrwSgvZ2WmjYLng6R7sR67nq
- SOL/USDT/USDC: 3x5NuXHzB5APG6vRinPZcsUv5ukWUY1tBGRSJiEJWtZa
- ETH/USDT/USDC: 0xDc3Fe44F0f25D13CACb1C4896CD0D321df3146Ee

Project X, REALITY NFT: https://opensea.io/collection/xtls
VLESS NFT: https://opensea.io/collection/vless
Sponsor Xray-core: https://github.com/XTLS/Xray-core/issues/3668

这就是我的理念：软件必须从根本上做好安全设计、消除人为因素影响，确保即使是什么都不懂的 endest user 也不至于裸奔。从要求面板必须加密，到推动弃用非前向安全的加密，再到最近的移除无条件 allowInsecure、要求必须 pin 证书，再到即将到来的禁止公网未加密出站，都是遵循这个理念。如果有些人觉得无所谓，回想当初要求面板必须加密时也就是伊朗人的反对声音最大，再去看看伊朗最近的局势，街头抗议光是死亡就有上万人，等把你清单拉出来的时候你才会后悔。

吸引国内火力这一块

我宣布 Xray-core 仅针对俄罗斯伊朗 GFW，禁止在中国大陆内使用

具体而言，本项目的功能仅针对它们开发，若中国也能用则纯属意外

理论上若以中国人的身份开个机场但把中国 IP 屏蔽了并没有任何问题