这可能听起来很幼稚,但我真的觉得有用的描述性答案。
所以,我的问题是:
我可以使用Firebug查看我访问的任何网站发出的AJAX请求。所以,我是否正确地说,如果网站选择使用Websockets,我将无法检查客户端和服务器之间的相同通信?换句话说,这会使它更安全吗?
答案 0 :(得分:1)
没有。一点也不。仅仅因为浏览器(还)没有显示WebSocket流量的工具,并没有使它更安全。例如,您始终可以运行数据包嗅探器来监控流量。
答案 1 :(得分:1)
不,因为浏览器旁边还有其他方法可以使用工具来读取您的流量。
试一试:安装并运行Wireshark,您将能够看到通过Websockets发送和接收的所有数据包。
答案 2 :(得分:1)
取决于申请。如果你是完全没有重新加载数据文件的Ajax,那么我认为websockets会为数据请求提供更好的身份验证,然后就连接劫持提供cookie会话。鉴于您当然使用SSL。
答案 3 :(得分:0)
答案 4 :(得分:0)
WebSockets同时具有未加密(ws://)和加密模式(wss://)。这类似于HTTP和HTTPS。 WebSockets协议有效负载只是UTF-8编码。从网络嗅探的角度来看,使用WebSockets没有任何优势(对所有敏感的东西都使用wss和HTTPS)。从浏览器的角度来看,使用WebSockets进行安全性没有任何好处。浏览器中运行的任何东西都可以由知识渊博的用户检查(和修改)。用于检查HTTP / AJAX请求的工具现在恰好更好。