websocket 安全通信

最新推荐文章于 2024-08-18 13:47:35 发布
最新推荐文章于 2024-08-18 13:47:35 发布
阅读量753 收藏 11
点赞数 5
分类专栏: 互联网 大模型 文章标签: websocket 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yao_zhuang/article/details/139902369
版权

在这里插入图片描述

WebSocket 协议

WebSocket:在 2008 年诞生,2011 年成为国际标准。它允许服务器主动向客户端推送信息,客户端也可以主动向服务器发送信息,实现了真正的双向平等对话。它是一种在单个 TCP 连接上进行全双工通讯的协议,能够更高效地进行实时通信。
传统的轮询:浏览器需要不断地向服务器发出 HTTP 请求,浪费带宽和服务器资源。

WebSocket 的优点:

  • 建立在 TCP 协议之上,服务器端实现相对容易。
  • 与 HTTP 协议兼容性好,默认端口也是 80 和 443,握手阶段采用 HTTP 协议。
  • 数据格式轻量,通信高效。
  • 支持文本和二进制数据传输。
  • 无同源限制,客户端可以与任意服务器通信。
  • 协议标识符是 ws(不加密)和 wss(加密)

WS 和 WSS

  • WS(WebSocket):是一种在单个 TCP 连接上进行全双工通讯的协议。它允许服务器和客户端之间进行实时双向通信。
  • WSS:是加密的 WebSocket 协议,相当于 WebSocket 加上 SSL/TLS 加密层。
    WS + SSL/TLS = WSS。

python sample

  1. 生成无密码保护的自签名证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

在这里插入图片描述
common name 也就是你的domain的name, 正式的项目中需要使用第三方认证机构提供的证书

  1. server端代码
import asyncio
import ssl
import websockets

async def echo(websocket, path):
    async for message in websocket:
        await websocket.send(message)

ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
ssl_context.load_cert_chain(certfile="cert.pem", keyfile="key.pem")

start_server = websockets.serve(echo, "localhost", 8765, ssl=ssl_context)

asyncio.get_event_loop().run_until_complete(start_server)
asyncio.get_event_loop().run_forever()
  1. client 端代码, python 端
import asyncio
import ssl
import websockets

async def hello():
    ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    ssl_context.load_verify_locations("cert.pem")

    uri = "wss://localhost:8765"
    async with websockets.connect(uri, ssl=ssl_context) as websocket:
        await websocket.send("Hello, world!")
        greeting = await websocket.recv()
        print(f"< {greeting}")

asyncio.get_event_loop().run_until_complete(hello())

其他

正式的wss 需要使用第三方进行认证,如let’s encrypt 等服务, 而不是自己生成的证书。

zeloas
关注
专栏目录
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 2761
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
【Web安全】先进技术WebSocket安全测试
HBohan的博客
10-21 522
什么是WebSocket WebSockets 是一种先进的技术。它可以在用户的浏览器和服务器之间打开交互式通信会话。允许浏览器和服务器建立单个TCP连接然后进行全双工异步通信。允许实时更新,浏览器也无需向后台发送数百个新的HTTP 请求,所以对于web程序来说,WebSocket非常流行 在一次授权的APP渗透测试中,发现客服系统走的websocket 测试了几个功能,抓到了upload的websocket接口 经过测试 发现存在任意文件上传,且可以通过…/…/控制上传文件夹,文件名也没经过后端处理
双向通信Websocket
最新发布
weixin_43914439的博客
08-18 901
在这里我们探讨了websocket的工作原理以及它在我们项目中的具体应用。除了消息回复的实时通知,它的应用也是非常广泛,比如说实时更新(股票行情,游戏数据更新),在线协作等等。相较于HTTP协议websocket通信模式是双向通信模式,而HTTP是请求响应模式,并且HTTP每次请求都会带上大量的请求头,websocket在建立连接之后只传输很少的头部信息。所以在不同的场景下我们考虑使用不同的协议,简单场景下HTTP已经足够,如果是双方消息通知或者实时推送的话可以考虑websocket协议
【译】WebSocket 协议第十章——安全性考虑(Security Considerations)
weixin_33939380的博客
02-02 2362
概述 本文为 WebSocket 协议的第九章,本文翻译的主要内容为 WebSocket 扩展相关内容。 有兴趣了解该文档之前几章内容的同学可以见: 【译】WebSocket 协议——摘要( Abstract ) 【译】WebSocket 协议第一章——介绍( Introduction ) 【译】WebSocket 协议第二章——一致性要求( Conformance Requirements )...
websocket安全
lakeyoursll的博客
11-30 3322
摘要        WebSocket为web应用和服务提供了双向实时通信信道,这篇论文概述了Websocket协议和这个API,并且描述了它提供的便利。本文的主要贡献是回顾和分析了与WS相关的安全问题,讨论了可能的解决方法以及部署WS的最佳实践。同样,这篇论文提出了在web浏览器中应该有一些安全的特性去余额宝用户的安全。浏览器供应商在提供安全特性方面充当着重要角色。WS至今还没有标准化,但是W
WebSocket安全性分析
ytt0523_com的博客
07-04 338
WebSocket 是HTML5一种新的网络传输协议,位于 OSI 模型的应用层,可在单个TCP连接上进行全双工通信WebSocket 建议于 TCP 协议之上,与 HTTP 协议有良好的兼容性。协议标识符是ws;如果加密,则为wss。
WebSockets应用安全
balance的博客
07-05 838
一、WebSockets应用场景 在Html5的WebSockets标准未出现之前,服务器是通过客户端(浏览器)轮询,来达到“推送消息”效果的,此方法低效且浪费资源 WebSockets在客户端(浏览器)和服务器之间建立TCP 持久连接,进行双向通信。http是请求响应机制(问-答,浏览器端发出请求,服务器端响应),而websocket使得浏览器与服务器建立起对话机制,双方都可以问和答。服务器...
WebSocket 安全与加密:TLS 和 DTLS 的应用
AI天才研究院
12-31 2272
1.背景介绍 WebSocket 是一种基于 TCP 的协议,用于建立持久性的双向通信通道。它主要应用于实时通信,如聊天、游戏、实时数据推送等。然而,WebSocket 协议本身并不提供安全性和加密功能,这导致了一些安全问题。因此,需要在 WebSocket 协议上加入安全机制,以保护数据的完整性、机密性和身份认证。 在这篇文章中,我们将讨论 WebSocket 安全与加密的两种主要方法:TL...
WebSocket通信协议基础原理与安全威胁
道阻且长,行则将至。
06-11 3211
本文将记录学习下 WebSocket 全双工通信协议的基本原理与鉴权机制,并分析 WebSocket 常见的安全风险,重点分析WebSocket劫持漏洞的根因。
面试篇:WebSocket协议详解-跨域通信安全性问题和发展前景
Hanko的专栏
03-31 2061
连接方式:HTTP协议是基于请求和响应的模型,每次客户端需要获取数据时都需要发送一个新的HTTP请求,而WebSocket协议则是一种全双工的协议,在客户端和服务器之间建立一次连接后,双方可以随时发送数据。高并发处理:传统的HTTP协议每次请求都需要建立一个新的连接,而WebSocket协议可以在一个TCP连接上进行多次请求和响应,减少了建立连接的时间和网络资源的消耗,从而提高了服务器的处理效率和吞吐量。其实从图一中可以看出websocket也是存在跨域问题的,但websocket协议没有同源策略的限制。
WebSocket协议
s44359487yad的博客
01-08 447
WebSocket协议:5分钟从入门到精通 一、内容概览WebSocket的出现,使得浏览器具备了实时双向通信的能力。本文由浅入深,介绍了WebSocket如何建立连接、交换数据的细节,以及数据帧的格式。此外,还简要介绍了针对WebSocket安全攻击,以及协议是如何抵御类似攻击的。二、什么是WebSocketHTML5开始提供的一种浏览器与服务器进行全双工通讯的网络技术,属于应用层协议。它基于...
基于Netty实现安全认证的WebSocketwss)服务端
u013771019的专栏
05-27 1989
4.1生成mystore.jks后,不导入证书,直接启动服务端使用;选择证书存储为【受信任的根证书颁发机构】,完成即可。】中基本一样,只是把服务端地址的协议头修改为wss。或者导入证书后不手动信任,客户端进行连接时候,会报错。启动服务端,然后启动客户端,连接和接发数据都正常。双机上面生成的证书文件mystore.cer,4.2 客户端连接服务端的地中,协议头还是ws。可以看到证书此时不受信任,点击【安装证书】JavaScript客户端代码,也是和 【再次双击原证书,可以看到证书已经受信任了。
保证 WebSocket 连接之前的身份验证过程的安全
Chihirozy的博客
07-12 787
以下是一些保证在 WebSocket 连接之前的身份验证过程安全性的方法:ws://wss://wss://wshttpswsscryptowss://
使用 Sa-Token 解决 WebSocket 握手身份认证
shengzhang_的博客
02-14 5410
WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性……
Golang 搭建 WebSocket 应用(四) - jwt 认证
rubys007的博客
01-19 1909
JWT是的缩写,是一种用于在网络中安全传递信息的开放标准。它是一种紧凑且自包含的方式,用于在各方之间传递信息,通常用于身份验证和授权机制。JWT主要由三个部分组成:头部(Header): 包含关于令牌的元数据,例如令牌的类型(typ)和签名算法(alg头部是一个JSON对象,通常会经过Base64编码。载荷(Payload): 包含要传递的信息,通常包括用户身份信息以及其他声明。载荷也是一个JSON对象,同样经过Base64编码。签名(Signature。
WebSocket通信协议应用安全问题分析
weixin_33975951的博客
08-01 1534
WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455,WebSocket API也被W3C定为标准,主流的浏览器都已经支持WebSocket通信WebSocket协议是基于TCP协议上的独立的通信协议,在建立WebSocket通信连接前,需要使...
Websocket为网络安全带来哪些挑战?
夯实技术基础
12-16 1629
​ 通过阅读本文可以了解: 1.Origin、Host、Upgrade、Connect字段的使用场景 2.Websocket数据帧进行掩码的目的 3.Http2 在发送数据前为什么会先发送一段字符 4.什么是透明代理投毒、怎么发起IP劫持攻击
第八章、WebSocket安全
往前的娘娘
02-03 1239
Websocket 端点使用Web容器安全模型来保护。这样做的目的是使得Websocket开发人员可以轻松地声明是否需要验证对websocket服务端点的访问权限,谁可以访问它以及是否需要加密连接。映射到给定ws://URI(如第3章和第4章所述)的websocket在部署描述符中受到保护,并带有带有相同主机名,端口和路径的http://URI的列表,因为这是URL它的开放握手。因此,Websocket开放人员可以为其websocket端点分配一种身份验证方案,授予访问和传输保证的用户角色。 文章目录8.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zeloas

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值