[英]Is it dangerous to establish WebSocket connection in a js file?
所以,基本上,我有這個代碼:
let socket = new WebSocket('ws://localhost:8080/server.php');
socket.onopen = () => {
console.log('connection established !');
}
我使用此代碼為實時測驗建立連接。 但是在我的檢查員的 Sources 頁面之后,我可以在我的瀏覽器中看到整個 javascript 代碼,包括ws://localhost:8080/server.php
。 (無意地)展示它有危險嗎? 如果某人創建了一個腳本並在其中放入相同的 url(不是本地主機,這只是一個示例),他可以接收/發送數據到服務器嗎?
是的,這很危險。 你可以:
驗證客戶端 http 請求 header 例如“起源”。 確保客戶網站是正確的客戶網站。
使用TSL websocket服務,通過SSL訪問服務器。 所以協議改為:wss://
給客戶端一個請求令牌,將此令牌放入 header 或發布數據中,服務器驗證此令牌。
在有限的時間內檢查客戶的請求時間。 確保特定客戶不會過於頻繁地請求
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.