一、基础知识
1. 什么是WebSocket
WebSocket是通过HTTP启动的双向、全双工通信协议。它们通常用于流式传输数据和其他异步流量的现代Web应用程序中。最常见的是网站中的聊天机器人
2. 与HTTP的区别
WebSocket连接是通过HTTP发起,通常是长期存在的。消息可以随时向任何一个方向发送,并且本质上不是事务性的。连接通常保持打开和空闲状态,直到客户端或服务器发送消息。
WebSocket在需要低延迟或服务器发起消息的情况下特别有用,例如金融数据的实时馈送。
使用HTTP时,客户端发送请求,服务器返回响应。通常响应立即发生,事务完成。即使网络连接保持打开,请求和响应也是单独的事务。这一点和websocket本质上不同。
3. WebSocket 链接建立过程
- client-side JavaScript 用于定义链接
var ws = new WebSocket("wss://normal-website.com/chat");
- 浏览器发出WebSocket握手请求
本文介绍了WebSocket作为双向通信协议的特点,对比了它与HTTP的区别。详细阐述了WebSocket的连接建立过程,并讨论了其在安全方面的风险,如SQL注入、XSS和CSRF。还举例说明了如何操纵WebSocket消息内容和握手来利用漏洞,以及跨站点WebSocket劫持的攻击方式。最后,提供了一些漏洞实例,展示了如何利用和防范这些问题。
订阅专栏 解锁全文
2815

被折叠的 条评论
为什么被折叠?



