[英]Is it dangerous to establish WebSocket connection in a js file?
所以,基本上,我有这个代码:
let socket = new WebSocket('ws://localhost:8080/server.php');
socket.onopen = () => {
console.log('connection established !');
}
我使用此代码为实时测验建立连接。 但是在我的检查员的 Sources 页面之后,我可以在我的浏览器中看到整个 javascript 代码,包括ws://localhost:8080/server.php
。 (无意地)展示它有危险吗? 如果某人创建了一个脚本并在其中放入相同的 url(不是本地主机,这只是一个示例),他可以接收/发送数据到服务器吗?
是的,这很危险。 你可以:
验证客户端 http 请求 header 例如“起源”。 确保客户网站是正确的客户网站。
使用TSL websocket服务,通过SSL访问服务器。 所以协议改为:wss://
给客户端一个请求令牌,将此令牌放入 header 或发布数据中,服务器验证此令牌。
在有限的时间内检查客户的请求时间。 确保特定客户不会过于频繁地请求
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.