【发布时间】:2015-02-16 08:39:35
【问题描述】:
根据RFC 6455 websocket protocol,browser client 将在 WebSocket 握手阶段包含 HTTP Origin 标头字段。 WebSocket 服务器将使用该Origin 来检查客户端是否具有访问权限。
但是对于功能更强大的non-browser client,握手阶段的Origin 标头可以煮成任何东西。 WebSocket 协议如何使用这种Origin 值来决定是否接受来自非浏览器客户端的握手?
即使使用browser client,用户不能只使用 JavaScript 创建一个假的Origin 握手标头吗?
看来Origin 标头本身就太脆弱了。
【问题讨论】:
标签: websocket