【发布时间】:2015-02-17 16:13:45
【问题描述】:
以下引用自 RFC6455 - WebSocket 协议。
不打算处理来自任何网页的输入但 仅对某些站点应该验证 |Origin|场是一个起源 他们期望。如果指示的来源对服务器来说是不可接受的, 然后它应该用一个回复来响应 WebSocket 握手 包含 HTTP 403 禁止状态代码。
|起源|头字段保护免受攻击情况时, 不受信任的一方通常是 JavaScript 应用程序的作者 这是在受信任的客户端的上下文中执行的。客户端 它本身可以联系服务器,并且通过|Origin|的机制 header 字段,决定是否扩展那些通信 JavaScript 应用程序的权限。 目的不是为了阻止 非浏览器建立连接,而是确保 受潜在恶意 JavaScript 控制的受信任浏览器 不能伪造 WebSocket 握手。
我只是不确定第二段是什么意思,尤其是 italic 部分。谁能解释一下?或者也许是一个例子。
目前我的理解是这样的:
如果服务器可以确定请求确实来自 Web 页面,则 ORIGIN 标头可用于防止来自不受欢迎的 Web 页面的访问。
如果服务器无法确定请求来自 Web 页面,则 ORIGIN 标头只是建议性的。
【问题讨论】:
标签: websocket