Html 开放式websocket连接存在哪些安全问题?
我正在构建一个使用WebSocket的应用程序。我只允许经过身份验证的用户在登录并获得会话id后打开与服务器的websocket连接Html 开放式websocket连接存在哪些安全问题?,html,websocket,Html,Websocket,我正在构建一个使用WebSocket的应用程序。我只允许经过身份验证的用户在登录并获得会话id后打开与服务器的websocket连接 一旦我与经过身份验证的用户打开了websocket连接,当前“页面”就会保存打开的websocket连接的详细信息。在这一点上,这种连接是否相对安全?或者我真的应该在通过websocket传入的我自己的应用程序级协议中的每条消息上检查一些令牌吗 是否存在任何已知的跨站点伪造类型的安全问题?有人可以通过让经过身份验证的用户以某种方式执行一些javascript来合作
(function() {
var ws = new WebSocket("ws://localhost:1000");
// some other stuff
})();
那么外部JavaScript将无法访问它,因此您不必担心。关于上面的#1-是的,我正在检查原始握手中的cookie,因为它是一个HTTP GET请求,用于设置连接。cookie必须具有通过先前身份验证的有效会话id。所以我很安全地同意连接。。。目前还不清楚,由于此连接处于打开状态,并且没有对每条消息进行身份验证,可能存在哪些漏洞。。。