我正在構建一個使用websockets的應用程序。我只打算允許經過身份驗證的用戶在登錄之後打開與服務器的websocket連接並獲得會話ID。打開websocket連接有哪些安全問題?
一次,我已經開始與經過認證的用戶一個WebSocket連接,目前的「頁面」,然後保存打開的WebSocket連接的詳細信息。在這一點上,這個連接相對安全嗎?還是應該真的在我自己的應用程序級別協議中通過websocket發送的每條消息上檢查一些令牌?
存在任何已知的跨站點僞造型安全問題?在哪裏有人可以通過讓認證的用戶以某種方式執行一些JavaScript來合作打開websocket - 從而導致利用打開的websocket連接的能力?
對於以上#1 - 是的,我檢查原握手cookie的,因爲它是一個HTTP GET請求建立連接。 Cookie必須通過先前的身份驗證才能擁有有效的會話ID。因此,我正在安全地授予連接權限......目前尚不清楚此連接處於開放狀態並且不驗證每條消息時可能存在哪些漏洞... – Rocketman 2013-04-29 00:01:11