Per-renderer WebSocket throttling
每个渲染器WebSocket节流
目的
防止行为不当的Javascript导致浏览器占用所有可用内存。
使WebSocket作为执行端口扫描的方法的吸引力降低。
背景
与HTTP不同,WebSocket协议具有内置的DoS保护,其形式为一次仅允许每个ip:port进行一次握手。这使得浏览器中对DoS保护的需求不那么明显。但是,如果浏览器接受来自渲染器的无限制WebSocket请求,它将用尽所有CPU和内存来处理这些请求。
原则上,WebSocket API通过不向Javascript提供有关握手失败原因的反馈,从而防止端口扫描。实际上,某些信息会以握手失败所需的时间形式泄漏。有间接证据表明WebSocket端口扫描是在野外进行的。
在浏览器中为每个请求的WebSocket连接创建一个HTTP请求。每个WebSocket大约需要8 KB。渲染器用于挂起WebSocket连接所需的内存要小得多,因此浏览器会先用完。当WebSocket在渲染器中被垃圾回收时,它也会在浏览器中释放,但这似乎无济于事。
Chrome已经有255个活动WebSocket(每个配置文件)限制。但是,当前对正在进行的握手的数量没有限制。
设计目标
- 通过限制同时等待的握手请求的总数,来限制渲染器可能导致浏览器使用的最大内存和CPU数量。
- 将随机截断的指数补偿应用于握手请求。
- 最小化由于回退而延迟的握手请求所使用的内存和CPU。