WebSocket协议提供了全双工的通信方式,提高了实时性和效率,但同时也带来了安全风险,如消息体输入漏洞、身份认证绕过、授权失效、拒绝服务等。攻击者可能利用WebSocket的特性进行跨站WebSockets劫持和中间人攻击。因此,理解并防范这些风险对于确保WebSocket应用的安全至关重要。
1. WebSocket协议
1.1 简介
WebSocket协议是基于TCP的一种新的网络协议。它实现了客户端与服务器全双工(full-duplex)通信,即允许服务器主动发送信息给客户端。因此,在WebSocket中,客户端和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输,这样也使得客户端和服务器之间的数据交换变得更加简单。
1.2 特点
WebSocket特点如下:
-
较少的控制开销。在连接建立后,服务器和客户端之间交换数据时,用于协议控制的数据包头部相对较小。在不包含扩展的情况下,对于服务器到客户端的内容,此头部大小只有2至10字节(和数据包长度有关);对于客户端到服务器的内容,此头部还需要加上额外的4字节的掩码。
-
更强的实时性。由于协议是全双工的,所以服务器可以随时主动给客户端下发数据。
-
保持连接状态。与HTTP不同的是,Websocket需要先建立连接,这就使得其成为一种有状态的协议,之后通信时可以省略部分状态信息。而HTTP请求可能需要在每个请求都携带状态信息(如身份认证等)。
-
更好的二进制支持。Websocket定义了二进制帧,相对HTTP,可以更轻松地处理二进制内容。
-
可以支持扩展。Websocket定义了扩展,用户可以扩展协议、实现部分自定义的子协议。
-
更好的压缩效果。相对于HTTP压缩,Websocket在适当的扩展支持下,可以沿用之前内容的上下文,在传递类似的数据时,可以显著地提高压缩率。
1.3 WebSocket 和 HTTP 的区别
-
HTTP 是一个无状态的协议,使客户端向服务器请求资源,并从服务器接收响应。客户端使用 HTTP 请求/响应语法,即请求发送到服务器之后,服务器向客户端返回 HTML 文件、图像和其他媒体内容。
-
WebSocket 通信协议尝试在较大范围内改进 Web 实时通信和插件技术,并提供全双工、基于事件的通信而无需采用低效的轮询方式。开发人员可以从 Web 浏览器的 JS 端轻松地创建 WebSocket 连接并发送数据,进而实现应用程序的实时数据传输的实现。
-
由于 WebSocket 是面向消息的,因此它更加适用于实时通信,而 HTTP 更适用于请求和服务器-客户端通信的响应。
2. WebSocket API
Websocket 使用 ws 或 wss 的统一资源标志符(URI),其中 wss 表示使用了 TLS 的 Websocket,
最低0.47元/天 解锁文章
1350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
