所以基本上,如果我运行socket.io程序,有人可以在控制台中复制并粘贴Socket.IO客户端源,然后放入" io.connect(' socketurl')& #34;它将充当新的套接字。通过反复这样做,它可能会崩溃服务器或只是破坏东西(如一群人的聊天室)。添加诸如发出特殊事物以验证其真正的套接字之类的东西,不会起作用,因为它们可以重新创建它。基本上这就是它发生的方式。
https://www.youtube.com/watch?v=_iKQhhDd_xI
有没有办法阻止这样的事情?
答案 0 :(得分:1)
您可以执行许多操作,包括(但不限于):限制每个IP的并发连接数或至少通过IP限制速率,需要经过身份验证的会话,如果您正在进行交叉操作,则使用更严格的CORS访问权限域名连接等。
其中一些可以单独使用socket.io开箱即用,否则你总是可以在socket.io前面使用Express这样的东西来处理连接,但是你想帮助防止你所描述的那种滥用