WebSockets ......它们不安全吗?

时间:2010-10-11 12:16:12

标签: web-applications html5 websocket

我正在研究HTML5,但我遇到了这个网站http://www.rumpetroll.com。这是一个非常非常酷的网站,但后来我注意到人们可能会相对容易地崩溃网站,因为他们可能会超载发送消息方案...而且我看到了各种各样的javascript注入hack正在进行,各种各样用户,这让我思考?

包含websockets是否真的搞乱了您网站的安全结构,我的意思是,我们是否需要格外小心以避免黑客攻击和崩溃?请给我一个关于websockets相同或一个很好的教程来源的参考文章...谢谢:)

3 个答案:

答案 0 :(得分:2)

与任何技术实施一样,安全性取决于您。

PHP会话并不安全,例如你可以想象。查看Chris Shiflett的文章以获得解释。

http://shiflett.org/articles

我建议这些新的Javascript技术阅读有关跨源资源共享,跨文档消息传递和Web套接字的一些内容,以进一步了解实现和安全缺陷。

开始搜索这些主题(以及许多其他主题)的一个好处是http://caniuse.com/

请记住,任何原始实现都是安全漏洞。对于您想要实现的任何功能,需要始终确定安全性。

答案 1 :(得分:1)

Web套接字是一种客户端 - 服务器端技术,因此取决于服务器实现以及浏览器。您必须始终格外小心,以避免黑客攻击和崩溃,并使用新技术。我的建议是遵循良好的安全准则,并从头开始设计需要保护的东西。我无法为您提供比网络更多的文章或教程。如果你想深入了解一个主题,买一本书,如果还没有写过书,你就有荣幸成为它的先驱:)然后你可以写一本书并致富。祝你好运!

答案 2 :(得分:1)

有一个体面的WebSocket Tutorial可以教你基础知识,但真正的安全和实施取决于你。我做了一些很多的其他后端,以防万一它被滥用而我没有提及,因为它真的不属于基础教程的主题。

检查适当的域名并进行相应限制。了解您不能永远信任客户端。拥有大部分可用客户端代码的必要性意味着您必须验证每条消息,以确保它真正来自您的应用程序。