1
因此,問題是: 有沒有辦法確定試圖連接到我的websocket服務器的客戶端是否從我提供的網頁執行此操作,而不是從任何其他頁面或腳本?如何確保從我的網頁打開websocket
A
回答
2
一個惡意的用戶/程序可以連接到這個websocket,並且你無能爲力(故事結束)。但是,WebSockets的同源策略應該與XHR非常相似。除非您明確允許,否則其他域上的JavaScript無法訪問域上的WebSocket。所以這意味着如果有人在哪裏重新發布您的內容,他們將不得不使用跨域代理。
相關問題
- 1. 如何確保網頁打開時查看元素?
- 2. JS:如何打開從當前網頁
- 3. 如何在網頁中打開網頁?
- 4. 我如何從一個片段打開webview中的網頁?
- 5. 從Meteor.js打開Websocket連接
- 6. 打開網頁
- 7. 如何在連接onopen處理程序之前確保WebSocket未打開?
- 8. 如何打開Azure Windows VM的websocket
- 9. 打開網頁並保存圖像
- 10. 打開並保存網頁selenium java
- 11. 如何跟蹤打開的網頁
- 12. 如何刷新已打開的網頁
- 13. 如何打開vb6中的網頁
- 14. 我怎樣才能確保一個網頁打開了滾動條在中間
- 15. 的WebSocket打開錯誤:錯誤的WebSocket
- 16. 你如何從我的網站打開另一個網站
- 17. 如何從網頁打開Chrome擴展選項頁面?
- 18. 如何維持一個websocket打開,直到正確關閉?
- 19. 我如何確保Tornado只會打開帶有經過身份驗證的用戶的WebSocket?
- 20. 如何從第二個打印頁面開始打印網頁頁腳?
- 21. 我如何防止從我的網頁的打印屏幕?
- 22. 我需要告訴Apache Tomcat保持打開Websocket連接嗎?
- 23. 如何用Jetty打開多個websocket Java
- 24. 我該如何確定並確保我的網頁沒有被緩存?
- 25. PHP打開網頁
- 26. webBrowser1打開網頁
- 27. 網頁未打開
- 28. 打開網頁onclick
- 29. 如何確保我的網頁不被最終用戶修改?
- 30. 如何從DataViewController正確地打開UIPageViewController的頁面?
「另一個域上的JavaScript無法訪問您的域上的WebSocket。」 - 這實際上是可能的。你只需要檢查'Sec-WebSocket-Origin'頭值。 – pimvdb
@pimvdb完全是我的觀點,兩個特徵的規則幾乎完全相同。使用XHR,您可以使用'Access-Control-Allow-Origin:*'標題。 – rook
爲了闡明,運行在一個不妥協,行爲良好的瀏覽器中的Javascript不會影響Sec-WebSocket-Origin的值,該值包含加載頁面的原始站點的值(允許您的服務器僅允許某些始發點)。但是,如果您將Javascript作爲WebSocket客戶端在Node.js中運行,則可以將原始值設置爲任何想要的值。 CORS安全性是爲了瀏覽器用戶的安全,而不是爲了你的服務器。您需要其他機制來保護您的服務器。 – kanaka