如果您以某种方式成功建立了经过身份验证的安全websocket连接,那么从那时起该连接是否会被认为是安全的?这意味着,您是否必须为每条消息发送身份验证数据,以便在攻击者以某种方式连接到已建立的websocket时,他们无法发送任何有意义的内容?我假设对于wss连接这样的情况不会发生,但是常规的ws连接呢?
答案 0 :(得分:2)
WebSocket是一种点对点连接,因此没有其他人可以连接到那个特定的套接字。如果你正在使用当前的密码进行TLS,那么这应该是安全的(那里有一些目前正在被弃用的密码,因为它们可能会被破坏)。
对于非TLS WebSocket连接,与通过常规HTTP(或任何其他未加密协议)完成的任何操作相同:任何中介都可以更改数据,因此不能将其视为安全。
答案 1 :(得分:0)
以下是关于WebSocket安全性的2篇博文,可以帮助您:
http://blog.kaazing.com/2012/02/28/html5-websocket-security-is-strong/