WebSocket 安全性：8 大漏洞及其解决方法

什么是 WebSocket？ WebSocket 变得越来越流行，因为它们极大地简化了客户端和服务器之间的通信。  WebSocket 协议使用 OSI 模型应用层（第 7 层）来允许客户端和服务器执行双向（全双工）通信。这使得创建动态、实时的 Web 应用程序（例如即时消息和照片共享应用程序）成为可能。 WebSockets 克服了浏览器和服务器之间通信的一些传统限制： 客户端请求/服务器响应——过去的服务器有永久的监听器。客户端（使用浏览器的客户端）没有用于长期连接的固定侦听器。这使得每次通信都以客户端要求和服务器响应为中心。 通信依赖于客户端——服务器只能在客户端请求时将资源推送给客户端。 持续检查——客户端不断被迫刷新服务器的结果。这就是为什么库专注于优化所有异步调用。他们还必须确定自己的反应。此问题最常见的解决方案是使用回调函数。 WebSocket 克服了从客户端到浏览器的单向通信所固有的延迟。在http[s]://协议中，客户端发起请求并等待响应。这称为交易。每个请求/响应都会启动一个不同的事务，并且每个事务都有开销。在 ws[s]:// 协议中，WebSockets 通过多个请求和响应启动长期事务。服务器还可以在没有事先请求的情况下发送数据，从而使通信更加高效。 在本文中： 最常见的 WebSocket 漏洞 拒绝服务攻击 握手过程中不进行身份验证 未加密的 TCP 通道 输入数据攻击的漏洞 数据脱敏 授权/认证 隧道技术 嗅探攻击 如何提高 … The post WebSocket 安全性：8 大漏洞及其解决方法 first appeared on Lenix Blog.