某不知名博客
carsaid
2023-10-11
目录

什么是WebSockets

翻译

原文:https://portswigger.net/web-security/websockets/what-are-websockets

- name: 翻译
  desc: 原文:https://portswigger.net/web-security/websockets/what-are-websockets
  bgColor: '#F0DFB1'
  textColor: 'green'
1
2
3
4

# 什么是WebSockets?

WebSockets (opens new window) 是一种通过 HTTP 发起的双向全双工通信协议。它们通常用于现代 Web 应用程序中的流数据和其他异步流量。

在本节中,我们将解释 HTTP 和 WebSockets 之间的区别,描述如何建立 WebSocket 连接,并概述 WebSocket 消息的外观。

(((译者加:WebSockets 和 Socket(套接字)不是同一种东西!)))

# 1HTTP和WebSockets之间有什么区别?

Web 浏览器和 Web 站点之间的大多数通信都采用 HTTP。通过 HTTP 可以实现 - 客户端发送请求,服务器返回响应。通常,响应会立即发生,并且事务已完成。即使网络连接保持打开状态,这也将用于请求和响应的单独事务。

一些现代网站使用 WebSockets。WebSocket 连接是通过 HTTP 发起的,其生存期一般很长。消息可以随时向任意一个方向发送,并且本质上不是事务性的。连接通常会保持打开和空闲状态,直到客户端或服务器准备好发送消息。

WebSockets 在需要低延迟 或 需要由服务器发起消息的情况下特别有用,例如实时的财务数据馈送。

# 2如何建立WebSocket连接?

WebSocket 连接通常使用客户端 JavaScript 创建,如下所示:

var ws = new WebSocket("wss://normal-website.com/chat");
1

笔记

wss协议通过加密的 TLS 来建立 WebSocket 连接,而ws协议使用未加密的连接。

为了建立连接,浏览器和服务器通过 HTTP 执行 WebSocket 握手。浏览器发出如下所示的 WebSocket 握手请求:

GET /chat HTTP/1.1
Host: normal-website.com
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: wDqumtseNBJdhkihL6PW7w==
Connection: keep-alive, Upgrade
Cookie: session=KOsEJNuflw4Rd9BDNrVmvwBF9rEijeE2
Upgrade: websocket
1
2
3
4
5
6
7

如果服务器接受连接,它将返回如下所示的 WebSocket 握手响应:

HTTP/1.1 101 Switching Protocols
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Accept: 0FFP+2nmNIf/h+4BP36k9uzrYGk=
1
2
3
4

此时,网络连接保持打开状态,可用于向任意一个方向发送 WebSocket 消息。

笔记

WebSocket 握手消息的几个特性,值得注意:

  • 请求和响应中的ConnectionUpgrade标头表明这是一次 WebSocket 握手。
  • Sec-WebSocket-Version请求标头指定客户端希望使用的 WebSocket 协议版本。这通常是 13。
  • Sec-WebSocket-Key请求标头包含一个经过 Base64 编码的随机值,该值应在每次握手请求中随机生成。
  • Sec-WebSocket-Accept响应标头包含了Sec-WebSocket-Key请求标头中提交的值的散列,并与协议规范中定义的特定字符串连接。这样做是为了防止 因服务器配置错误或缓存代理 而导致的误导性响应。

# 3WebSocket消息是什么样的?

建立 WebSocket 连接后,客户端或服务器就可以 在任意一个方向异步发送消息。

可以使用客户端 JavaScript 从浏览器发送一条简单的消息,如下所示:

ws.send("Peter Wiener");
1

原则上,WebSocket 消息可以包含任何内容或数据格式。在现代应用程序中,JSON 通常用于在 WebSocket 消息中发送结构化数据。

例如,使用 WebSocket 的聊天机器人应用程序,可能会发送如下所示的消息:

{"user":"Hal Pline","content":"I wanted to be a Playstation growing up, not a device to answer your inane questions"}
1
编辑 (opens new window)
WebSockets安全漏洞测试
跨站点WebSockets劫持

跨站点WebSockets劫持

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License