增强 now.js/socket.io 聊天的安全性

Question

与 nowjs 或 socket 聊天。 io 是您可以用它们进行的最简单的练习之一。我想使用 nowjs 的 Group 对象实现多房间聊天（具有非固定数量的房间和登录用户）。

我还没有直接使用过 WebSockets，我想知道其中存在哪些安全问题。例如，我需要多久检查一次身份验证？

攻击者是否有可能“劫持”socket.io 连接？我该如何阻止它？

还有哪些其他安全陷阱需要关注？

Answer 1

中间人当然是一个考虑因素。不过，最大的安全问题是 XSS。

这个有用的 SO 线程 建议：

1. socket.io 0.8 内置了引荐来源证验证
2. 如果聊天来自已知的情况， origin，阻止防火墙上的多余连接

这篇内容非常丰富的文章建议：

1. 不要信任客户端，
2. 使用 SSL 加密，
3. 检查来源
4. ，防止 XSS（清理客户端输入！）
5. ，不要假设它是浏览器

这个有用的线程说要在 socket.io.connect(...) 上设置 secure:true

我会建议采纳所有这些建议:)