WebSocket安全性剖析 你看懂了吗
|
WebSocket是一种新的网络通信协议基于 HTML5,位于 OSI 模型的应用层,可在单个TCP连接上进行全双工通信。WebSocket 建议于 TCP 协议之上,与 HTTP 协议有良好的兼容性。协议标识符是ws;如果加密,则为wss。 WebSocket通信是双向的,既可以由客户端发送信息,到服务端。也可以由服务端发送信息到客户端这个命令行工具。 websocket通常是由客户端JavaScript脚本创建 var w = new WebSocket(`wss://normal-website.com/chat"); 为了建立连接,会通过HTTP协议发送一个请求,告诉服务器接下来要使用websocket进行通信,如果服务器同意请求,接下来就会进行三次握手。 Sec-WebSocket-Accept响应报头包含在提交的值的散列Sec-WebSocket-Key请求头,具有在协议规范中定义的特定的字符串串联。这样做是为了防止错误配置的服务器或缓存代理导致误导性响应。 三次握手以后表示建立了客户端与服务端建立websocket连接,可以通过websocket协议进行通信。 原则上,WebSocket 消息可以包含任何内容或数据格式。在现代应用程序中,通常使用 JSON 在 WebSocket 消息中发送结构化数据。 websocket仅仅是web程序中的一种通信协议,并不会解决web应用中存在的安全问题。因此在HTTP协议中出现的安全问题在websocket中都可能出现。 目前对于HTTP协议的漏洞已经很少了,可以去看看websocket协议的,说不定会有意想不到的发现。一般来说,如果你的网站没有什么问题,就不会有太大的安全隐患,但是也不排除有一些黑客利用这些漏洞进行攻击。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
