以下纯转发，本人没有苹果设备，还在用win7，无法测试，风险自负！
1、用苹果自带浏览器访问如下网址：
https://github.com/paulmillr/encrypted-dns/raw/master/profiles/canadianshield-private-https.mobileconfig
会弹出一个下载配置描述文件的提示，确认即可，毫无安全风险
随便拿其他浏览器输入以上网址，直接打开这个配置文件，就是几行文本而已
如果上述github短暂不可用，自己电脑下载然后发到自己的比如163邮箱，
然后safari浏览器里面登录邮箱下载附件效果一样。
2、到“设置”里面安装你的描述文件。最顶上显著位置。
3、在设置，通用里面找到dns选项，选择你安装的dns描述文件，选择启用即可。
原理：
第一层：是在iOS上启用DOH，即可直连。链接里面是个加拿大的doh服务器，不受污染。
第二层：在windows或者安卓上面是否可以，原理一样可以，实现手段不一。
安卓12之后应该原生自带该功能，找到合适的doh服务器填入即可，当然dot也行。
windows 11原生自带系统级DOH，在系统设置里面填入即可，整个系统都doh，虽然意义不大。
windows 10的edge只要一直自动更新，早就支持edge里面启用DOH。
不利影响：访问部分网站速度可能会受到影响，禁用即可。
为什么？因为好的可用的doh是在国外，解析出来的网址不一定是靠你最近的cdn的服务器
为什么不用国内的doh呢，因为国内的doh都是垃圾，解析草榴都是错误的！
回到根本问题上，gfw至今对草榴的屏蔽，仅仅是dns污染，最初级原始的。
所以干净的doh可以轻松突破，而且你的网管从此也不知道你访问了草榴。
为啥不用dot，其实也可以，但是dot由于用了853这样的特定端口，更容易被网管发现。
好的doh服务器一票难求，既要解析准确，这个国外的可以说100%准确。
又要速度快，这个比较难，因为都在国外，比你家门口运营商的肯定要慢，而且解析的结果可能也不是最优，虽然是准确的。
为啥不用cf的1.1.1.1或者谷歌的8.8.8.8，也都提供doh dot啊，
因为……这些树大招风，所以你ping 1.1.1.1很可能路由表都给你劫持了根本到不了。

---

以上纯转发，本人没有苹果设备，还在用win7，无法测试，风险自负！
喜迎20大，老铁们，一键三连！水能（peng）载舟，亦可赛艇！