为什么没有 Sec-WebSocket-Key1 的 WebSocket 不安全?

【问题标题】:Why are WebSockets without Sec-WebSocket-Key1 insecure?为什么没有 Sec-WebSocket-Key1 的 WebSocket 不安全?
【发布时间】:2010-08-29 15:11:50
【问题描述】:

旧的和被取代的 WebSocket 规范草案 75 没有指定 HTTP 请求标头 Sec-WebSocket-Key1 和 Sec-WebSocket-Key2。为什么最新的草案包括这些,以及在提高安全性方面的哪些方面?

【问题讨论】:

    标签: security html websocket


    【解决方案1】:

    这是我能想到的:这些新字段用于防止跨协议攻击。让我们假设一些恶意 JavaScript 在 Web 浏览器中运行,试图连接到非 HTTP、非 WebSocket 服务器(例如 FTP、telnet、SSH)。在草案 75 中,握手仅包括客户端发送 WebSocket 握手标头,而服务器则无任何响应。之后,客户端可以发送\x00...\xFF 框架消息。因此,客户端中的恶意 JavaScript 代码将能够连接到非 WebSocket 服务器(例如 telnet),尝试登录并在那里运行命令。引入Sec-WebSocket-Key1后,除非服务器返回Sec-WebSocket-Key1等的MD5校验和,否则WebSocket连接尝试将失败。强制使用非WebSocket (例如 telnet)服务器几乎不可能做到这一点,特别是因为 JavaScript 代码无法控制 Sec-WebSocket-Key1 等。

    【讨论】:

      猜你喜欢
      • 2013-08-18
      • 2016-06-28
      • 2012-09-04
      • 1970-01-01
      • 1970-01-01
      • 2016-04-19
      • 1970-01-01
      • 2018-11-08
      • 2015-10-12
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode