与聊天nowjs http://nowjs.org or 套接字.io http://socket.io/是您可以用它们进行的最简单的练习之一。我想使用 nowjs 的 Group 对象实现多房间聊天(具有非固定数量的房间和登录用户)。
我还没有直接使用过 WebSockets,我想知道其中存在哪些安全问题。例如,我需要多久检查一次身份验证?
攻击者是否有可能“劫持”socket.io 连接?我该如何阻止它?
还有哪些其他安全陷阱需要关注?
中间人当然是一个考虑因素。不过,最大的安全问题是 XSS。
这个有用的SO线程 https://stackoverflow.com/questions/7450445/socket-io-security-issues建议:
- socket.io 0.8 内置了引荐来源网址验证
- 如果聊天来源已知,则在防火墙处阻止多余的连接
这篇内容非常丰富的文章 http://blog.kotowicz.net/2011/03/html5-websockets-security-new-tool-for.html建议:
- 不要相信客户
- 使用 SSL 加密
- 检查原产地
- 防止 XSS(清理客户端输入!)
- 不要假设它是浏览器
这个有用的线程 https://stackoverflow.com/questions/6599470/node-js-socket-io-with-ssl表示在 socket.io.connect(...) 上设置 secure:true
我建议采纳所有这些建议:)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)