问题描述
如果它的蜜蜂在客户端(网页)和服务器之间使用了websocket协议。
- 第三方是否有可能在握手中甚至在建立连接之后欺骗连接?
解决方法
Websocket不直接提供身份验证。如果您是通过TLS(即WSS)构建的,则将使用TLS会话通过服务器和客户端证书来验证双方,就像HTTPS vs HTTP一样。
如果您通过HTTP构建Websocket,那么可以,第三方完全有可能欺骗连接(并进行窃听)。如果您的HTTPS / WSS系统未正确验证证书,则也可能会被欺骗。
如果它的蜜蜂在客户端(网页)和服务器之间使用了websocket协议。
Websocket不直接提供身份验证。如果您是通过TLS(即WSS)构建的,则将使用TLS会话通过服务器和客户端证书来验证双方,就像HTTPS vs HTTP一样。
如果您通过HTTP构建Websocket,那么可以,第三方完全有可能欺骗连接(并进行窃听)。如果您的HTTPS / WSS系统未正确验证证书,则也可能会被欺骗。