validationWebSocket连接源
我目前正在开发一个谷歌浏览器扩展插件,通过WebSockets连接到我们的服务器,但是很害怕有人能够用假的数据来炸毁我们的服务器,所以我们希望实现一个安全措施,以防止其他来源连接到服务器。
有什么方法可以将安全措施集成到应用程序和服务器中,以validation来自Google Chrome扩展程序的连接?
在进行这种应用程序时,我们是否还有其他的事情需要注意? 任何意见表示赞赏。
在WebSocket握手中,有一个“Sec-WebSocket-Origin:”头(或者最近的“Origin:”)。 这由浏览器设置为加载页面的原始站点。 您可以将服务器configuration为只接受来自网站的网页的连接。
请注意,这不是100%的万能灵药,因为有人可以编写一个欺骗Origin字段的WebSocket客户端(因此还需要一些额外的validation方法)。 但是,它确保正常人运行的普通浏览器不能向您发送虚假数据。
另外请注意,普通的浏览器仍然可能被劫持参与对您的网站的DDOS攻击,但无论浏览器是否支持WebSocket,情况都是如此。 所以你还是要采取正常的措施来防止这种情况发生。