Bản nháp cũ và được thay thế 75 của đặc tả WebSocket không chỉ định các tiêu đề yêu cầu HTTP Sec-WebSocket-Key1 và Sec-WebSocket-Key2. Tại sao bản nháp mới nhất bao gồm những dự thảo này và những gì về mặt tăng cường bảo mật?Tại sao WebSockets không có Sec-WebSocket-Key1 không an toàn?
Trả lời
Dưới đây là những gì tôi có thể tìm ra: các trường mới này có sẵn để ngăn chặn các cuộc tấn công qua giao thức. Giả sử rằng một số JavaScript độc hại đang chạy trong trình duyệt web, cố gắng kết nối với các máy chủ không phải HTTP, không phải WebSocket (ví dụ: FTP, telnet, SSH). Với bản nháp 75, cái bắt tay chỉ bao gồm khách hàng gửi tiêu đề bắt tay WebSocket và máy chủ trả lời không có gì. Sau đó, khách hàng có thể gửi \x00...\xFF
tin nhắn được đóng khung. Do đó, mã JavaScript độc hại trong máy khách sẽ có thể kết nối với máy chủ không phải WebSocket (ví dụ: telnet), cố gắng đăng nhập và chạy các lệnh ở đó. Sau khi Sec-WebSocket-Key1 đã được giới thiệu, nỗ lực kết nối WebSocket sẽ thất bại trừ khi máy chủ trả về tổng kiểm tra MD5 Sec-WebSocket-Key1 vv. không thể, đặc biệt là vì mã JavaScript không kiểm soát được Sec-WebSocket-Key1, v.v.
- 1. có phải là websockets an toàn hay không?
- 2. Tại sao ReadOnlyDictionary không an toàn?
- 3. Tại sao IntPtr không cần từ khóa không an toàn?
- 4. Tại sao chủ đề EJBs an toàn và servlet không?
- 5. Mã an toàn và không an toàn
- 6. Tại sao mã này không phải là chuỗi an toàn?
- 7. tại sao "f = f ++" không an toàn trong c?
- 8. Tại sao đọc không an toàn cho luồng?
- 9. SecureString có an toàn không?
- 10. Mảng an toàn không có khóa an toàn
- 11. Tại sao `vapply` an toàn hơn` sapply`?
- 12. Chuỗi an toàn của Netty Channel.write có an toàn không?
- 13. FormsAuthentication: Có an toàn không?
- 14. Luồng có an toàn không?
- 15. TempData: Có an toàn không?
- 16. DWScript có an toàn không?
- 17. Nhận các Websockets an toàn hoạt động trên Tornado
- 18. Chuỗi NSUserDefault có an toàn không?
- 19. Tại sao Indy 9 đi kèm với Delphi 2009? Có an toàn để sử dụng không?
- 20. Api này có an toàn không?
- 21. IFRAME an toàn được lồng trên trang không an toàn
- 22. là chuỗi java.util.UUID có an toàn không?
- 23. Kịch bản này có an toàn không?
- 24. Có an toàn để sử dụng các chức năng chủ đề 'Không an toàn' không?
- 25. Tại sao tôi nhận được lỗi "Mã không an toàn chỉ có thể xuất hiện nếu biên dịch với/không an toàn"?
- 26. Tôi có nên trộn lẫn mã an toàn với mã không an toàn của mình không?
- 27. Chủ đề SecureRandom có an toàn không?
- 28. C# enums có an toàn không?
- 29. (bool | bool) có an toàn không?
- 30. Có an toàn threado MongoDB không?