我目前有一个服务器实现,其中javascript前端通过Netty-Socketio使用的socketio协议进行连接。这个实现非常有效,只有一个缺陷。
从我收集的内容来看,使websocket通道知道用户安全上下文的唯一方法是在握手中传递JSESSIONID,这意味着将它放在客户端页面上。
这不是安全的吗?这也意味着,因为我们使用HTTPONLY头(更多的原因,这不应该在前端),我们需要调用JS来返回当前用户的JSESSIONID。即使我们用GUID抽象它,它仍然允许会话劫持不是吗?
任何人都可以建议更好地处理这个方法吗?