【发布时间】:2014-07-03 15:53:43
【问题描述】:
我想为我的应用程序(DaemonWebGUI 和 DaemonFatClient 等)使用 WebSockets 进行进程间通信。在测试期间,我尝试通过 websocket.org (http://www.websocket.org/echo.html) 上的 JavaScript WebSocket 客户端连接到本地运行的 Web 套接字服务器 (ws://localhost:1234)。
我现在的问题是:
为什么会这样? 浏览器中是否没有实施跨域策略(此处:Linux 上的 FF29)?
我问是因为如果 websocket.org 是邪恶的,它可能会尝试与我的本地 WS 服务器通信并将它从 localhost 接收到的每条消息重定向到任何其他服务器:
本地 WebSocket 服务器 浏览器 邪恶的 Web 服务器 在 ws://localhost:1234 在 http://evil.tld | | | | |-----[GET /]--------->| | || | | |----[邪恶前锋]---->| | | |我还没有测试整个用例,但是从 websocket.org 提供的 JS 连接到 ws://localhost 确实有效。
【问题讨论】:
-
websocket.org 不应该是邪恶的,Web 套接字可以;)
标签: javascript security websocket