我目前正在开发一个Google Chrome扩展,它通过WebSockets连接到我们的服务器,但我害怕有人会用假数据攻击我们的服务器,所以我们希望实现一个安全措施,以防止其他来源连接到服务器。
是否有任何方法可以将安全措施集成到应用程序和服务器中,以验证来自Google Chrome扩展的连接?
在做这类应用程序时,我们还应该注意什么?
在WebSocket握手中有一个"Sec-WebSocket-Origin:"报头(或者最近,只是"Origin:")。这是由浏览器设置为加载页面的原始站点。您可以将服务器配置为只接受来自您站点的页面的连接。
请注意,这不是一个100%的万灵药,因为有人可以写一个WebSocket客户端欺骗起源字段(所以一些额外的身份验证方法仍然需要)。但是,它可以保证由普通人运行的普通浏览器不会向您发送虚假数据。
还要注意的是,普通的浏览器仍然可能被劫持,参与针对您的网站的DDOS攻击,但无论浏览器是否支持WebSocket,这都是正确的。因此,您仍然需要采取常规措施来防止这种情况。