基于原始的安全模型是什么意思？

Question

我正在研究websocket RFC 6455，其中web-socket的安全模型被称为origin-based security model。此外，还提到Web浏览器使用此安全模型。那么基于原点的安全模型是关于什么的呢？

Answer 1

基本上，数据/脚本根据其加载位置被分类为受信任或不受信任，如果您了解相同的源策略或跨源资源共享（CORS），那么您就知道浏览器对从中加载的Javascript设置了一些限制不同的领域。

Answer 2

CORS不适用于WebSocket。页面JS可以连接到任何WebSocket服务器。只是浏览器 WebSocket客户端将发送origin标头，您可能会或可能不会在您的服务器中使用它来拒绝客户端。但是，非浏览器客户端可以伪造它，因此使用有限。

Answer 3

会发生什么：

• 客户端连接到服务器，并在顶部设置HTTP和TCP连接。
• 在使用HTTPS的情况下，还就使用的加密协议达成协议，包括密钥交换和证书交换。如果发生证书交换：
  • 客户端可以通过使用服务器的公共密钥验证服务器的证书来确定服务器的身份（通常是通过tp确保没有正在进行的中间人攻击或DNS）欺骗等）
  • 服务器可以通过使用客户端的公钥验证客户端的证书来确定客户端的身份（仅在用例要求客户端身份很重要的情况下才这样做）
• 连接已建立！从这里开始，通过TCP连接进行的所有操作都被视为“健康”。 “遍历连接”表示“相同来源”：它来自同一客户端（或来自同一服务器）。

很可能是客户端（甚至服务器）上有一个恶意骇客，破坏了TCP或HTTP级别上的现有连接，并注入了自己的数据包，数据，请求或XML块。 太糟糕了！在所描述的方法中不可能排除这种情况。可能需要对协议进行其他检查，例如对于每个单独的请求，都有一个单独的签名，该签名由$ {company代表}安装的相互信任的硬件模块签名，或者类似的复杂符号。