WebSocket安全漏洞

一、基础知识

1. 什么是WebSocket

WebSocket是通过HTTP启动的双向、全双工通信协议。它们通常用于流式传输数据和其他异步流量的现代Web应用程序中。最常见的是网站中的聊天机器人

2. 与HTTP的区别

WebSocket连接是通过HTTP发起，通常是长期存在的。消息可以随时向任何一个方向发送，并且本质上不是事务性的。连接通常保持打开和空闲状态，直到客户端或服务器发送消息。
WebSocket在需要低延迟或服务器发起消息的情况下特别有用，例如金融数据的实时馈送。

使用HTTP时，客户端发送请求，服务器返回响应。通常响应立即发生，事务完成。即使网络连接保持打开，请求和响应也是单独的事务。这一点和websocket本质上不同。

3. WebSocket 链接建立过程

• client-side JavaScript 用于定义链接

var ws = new WebSocket("wss://normal-website.com/chat");

• 浏览器发出WebSocket握手请求

GET /chat HTTP