websocket - Sec-WebSocket-Key 有什么用？-6ren

websocket - Sec-WebSocket-Key 有什么用？

转载作者：行者123 更新时间：2023-12-02 09:38:54

40

4

在 draft-ietf-hybi-thewebsocketprotocol-17 的第 1.3 节“打开握手”中，它描述了Sec-WebSocket-Key如下:

To prove that the handshake was received, the server has to take two pieces of information and combine them to form a response. The first piece of information comes from the |Sec-WebSocket-Key| header field in the client handshake:
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
For this header field, the server has to take the value (as present in the header field, e.g. the base64-encoded [RFC4648] version minus any leading and trailing whitespace), and concatenate this with the Globally Unique Identifier (GUID, [RFC4122]) "258EAFA5-E914-47DA-95CA-C5AB0DC85B11" in string form, which is unlikely to be used by network endpoints that do not understand the WebSocket protocol. A SHA-1 hash (160 bits), base64-encoded (see Section 4 of [RFC4648]), of this concatenation is then returned in the server's handshake [FIPS.180-2.2002].

这是我无法理解的事情:为什么不简单地返回代码 101？如果正确使用 Sec-WebSocket-Key是为了安全，或者为了证明他们可以处理 websocket 请求，那么任何服务器都可以根据需要返回预期的 key ，并假装它们是 websocket 服务器。

最佳答案

根据 RFC 6455 Websocket 标准
first part :

.. the server has to prove to the client that it received the
client's WebSocket handshake, so that the server doesn't accept
connections that are not WebSocket connections.  This prevents an
attacker from tricking a WebSocket server by sending it carefully
crafted packets using XMLHttpRequest [XMLHttpRequest] or a form
submission.

...
For this header field, the server has to take the value (as present
in the header field, e.g., the base64-encoded [RFC4648] version minus
any leading and trailing whitespace) and concatenate this with the
Globally Unique Identifier (GUID, [RFC4122]) "258EAFA5-E914-47DA-
95CA-C5AB0DC85B11" in string form, which is unlikely to be used by
network endpoints that do not understand the WebSocket Protocol.

second part :

The |Sec-WebSocket-Key| header field is used in the WebSocket opening
handshake.  It is sent from the client to the server to provide part
of the information used by the server to prove that it received a
valid WebSocket opening handshake.  This helps ensure that the server
does not accept connections from non-WebSocket clients (e.g., HTTP
clients) that are being abused to send data to unsuspecting WebSocket
servers.

因此，由于标准中指定了 GUID 的值，因此不知道 Websockets 的服务器不太可能(可能，以非常小的概率)使用它。它不提供任何安全性(安全 websockets - wss://- 提供)，它只是确保服务器理解 websockets 协议(protocol)。
真的，正如您所提到的，如果您知道 websockets(这是要检查的)，您可以通过发送正确的响应来假装是 websocket 服务器。但是，如果您的行为不正确(例如正确地形成帧)，它将被视为违反协议(protocol)。其实你可以写一个不正确的websocket服务器，但是用处不大。
另一个目的是防止客户端意外请求 websockets 升级而不是期望它(例如，通过手动添加相应的 header 然后期望其他)。 Sec-WebSocket-Key 等相关头信息禁止使用 setRequestHeader 设置浏览器中的方法。

关于websocket - Sec-WebSocket-Key 有什么用？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/18265128/

40

4

0

文章推荐： hash - "decrypt"MD5 散列怎么可能是不可能的？

文章推荐： c++ - 为什么这段代码在 C++17 中编译没有错误？

文章推荐： google-chrome - 我可以同时运行 Chrome Beta 和普通 Chrome 吗？

java - 区别: 'sec:authentication' & 'sec:authentication property'
我已经包含了在我的 html 页面中显示我的页面中的用户名。我还找到了显示相同的内容。我需要知道的是，这些方法之间从 LDAP/DB 中选取用户名的方式是否有区别？哪种方法可以保持最佳响应时间？
mysql - mysql执行时间差异很大: minimum 2 secs - maximum 120 secs
情况:我使用(php)cronjob 来保持我的数据库最新。受影响的表包含大约 40,000 条记录。基本上，cronjob 会删除所有条目并随后插入它们(具有不同的 ofc 值)。我必须这样做，因为
java - Thymeleaf:sec:authentication 在任何情况下都会显示，而 sec:authorize 在任何情况下都不会出现
每个与 sec:authentication="..."无论是否登录都会显示。甚至是明确的false导致div出现。另一边与sec:authorize="..."即使有明确的 true 也是隐藏的.
http - 从 "Sec-WebSocket-Accept"生成 "Sec-WebSocket-Key"
我正在关注 rfc6455 : Concretely, if as in the example above, the |Sec-WebSocket-Key| header field had the
c# - Timespan(0,0,secs) 或 Timespan.FromSeconds(secs)
Timespan(0,0,secs) 和 Timespan.FromSeconds(secs) 的返回值有区别吗？在我看来，不同之处在于 FromSeconds 接受 double。最佳答案最终
linux - Thymeleaf sec :authorize and sec:authentication attributes, 对生产没有影响，但在 IDE 上工作正常
美好的一天，就我而言，一切都很好，并且在 localhost ide 上运行良好，但在 linux thymeleaf 下的站点上 sec:authorize 和 sec:authentication
objective-c - UIView 子类 : performSelecter:withDelay: say 5 secs but the view is removed at 3rd sec?
我有一个 UIView 子类，在某些情况下我需要改变它的颜色一段时间，比如 5 秒，然后再改变颜色，我使用的方法是 performSelector:afterDelay: 和我传入的选择器是将颜色改回
Java 服务器，TLSv1.1 快，TLSv1.2 极慢(90MByte/sec 对比 4MByte/sec)
测试之间的唯一变化是更改 TLS 版本。 Chrome 和 FireFox 之间的行为是相同的。 TLSv1 和 TLSv1.1 均达到 90 兆字节/秒。他们在 Java 6 (TLSv1) 和 J
python - 将文本列拆分为最小值 :sec
我在数据框中有一个时间详细信息作为文本。 dict1={'time' : ['2 min 19 sec','2 min 43 sec','1 min 33 sec','32 sec','40 sec'
02、SECS-II通信协议介绍
这里我们先学习 SECS-II 协议，给我的感受是先学完 SECS-II 协议，再去学习 SECS-I 和 HSMS 协议更加容易理解，所以这里我先介绍 SECS-II 协议。文章的
03、SECS-I协议介绍
03、SECS-I 协议介绍上一篇我们学习了 SECS-II 协议，对 SECS-II 协议有了初略的了解，现在我们再来一起学习 SECS-I 协议。文章的内容基本上来自参考
python - 列出超出 SEC 网络爬虫范围的索引
这里的 super 新手有一个 friend 帮助我制作了这个用于查看对冲基金 13fs 的网络爬虫。之前它运行良好，但最近我遇到了这个错误: response_two = get_request(s
r - ggplot2 条形图将标签从秒转换为分钟 :sec
我想创建一个条形图，其中 y 轴使用“min:sec”作为标签。但是，我要显示的数据以秒为单位。现在最好的方法是什么？ zone time_in_zone 1 305
java - 无法找到或加载主类 sec java
文件名first.java package p1; public class first { int a; public void display() { System.out.pri
python - 如何从python中的.sec.gz类型的ftp服务器读取文件
我正在尝试读取和存储名为xx.sec.gz.的文件。正在下载该文件很好，但是其中存在的数据完全不同（无法读取）。我使用了retrbinary .....除了retrbinary之外，python中存在
c++ - PacketReceived/Sec 值非常高
class Win32_PerfRawData_Tcpip_NetworkInterface : Win32_PerfRawData { uint32 BytesReceivedPerSec;
matlab - 以分钟为单位绘制格式化时间 (min.sec)
我试图在 Matlab 中绘制一些关于分钟而不是秒的数据作为格式化时间，即 min.sec。我有实时数据流，在收到每个样本的地方，它的时间以秒为单位也被发送。然后我根据时间绘制它们。现在，由于我的
java - mtime.sec 不存在
我在这里面临一个棘手的情况。我有一个基于 java 的应用程序，它试图通过 scp 远程机器复制某些文件。在执行这些任务时，我从应用程序端发现以下错误消息。 scp protocol error mt
javascript - 将
我创建了一个弗兰肯斯坦式的音频播放器，并且在轨道计时方面需要一些帮助。我现在有了它，所以它从 0 开始计数 -> 无论轨道时间是多少，以秒为单位。我似乎不知道如何将这些秒转换为分钟:秒。我是使用 J
spring-mvc - sec:authorize和sec:authentication注释不起作用
我有一个带有以下 View 代码的Spring + Thymeleaf项目。 Contacts Welcome to the site! Wrong us

首页

博学

6Ren·AI

商城

websocket - Sec-WebSocket-Key 有什么用？