WebSockets是否安全？

WebSocket安全涉及许多不同的方面。

您引用的维基百科片段是指WebSocket客户端到服务器数据的蒙版处理。这是为了保护行为不良的中间代理（例如代理和缓存）不会意外将WebSocket流量解释为普通的HTTP流量。危险在于WebSockets协议可能被用来毒害缓存中介。然而，我应该指出，这只是一个纯理论上的担忧，但它足以使Mozilla和Opera不愿发布Hixie和早期HyBi版本的WebSocket协议。因此，IETF决定添加客户端到服务器的数据蒙版处理以解决这个问题。

顺便说一下，IETF负责WebSocket协议（IETF 6455），而W3C负责HTML5 WebSocket API（Javascript对象、方法和事件）。

WebSocket安全的另一个方面是跨域安全。您引用的W3C WebSocket API规范的第二个片段与跨域安全有关。WebSockets支持跨域连接（与提供HTML页面的不同主机的连接）。这个警告意味着如果使用了普通的HTTP跨域程序来实现WebSocket，那么这将打开一个巨大的安全漏洞。然而，正是因为这个原因，WebSocket的过程是不同的。首先，WebSocket握手和响应被设计为无法建立到不支持WebSocket连接的HTTP服务器的WebSocket连接：服务器必须以WebSocket特定的方式签名/哈希密钥并在握手响应中返回这个密钥。其次，浏览器必须作为握手的一部分发送一个Origin头（这表明最初从哪里加载HTML/Javascript）。这样，服务器就可以选择允许哪些域发起WebSocket连接。

最后，有两种WebSocket连接模式：未加密（ws://）和加密（wss://）。加密模式使用TLS/SSL加密来加密发送到和从服务器传输的所有数据（包括初始握手和响应）。这是用于HTTPS连接的相同加密机制，并且在浏览器中使用相同的加密引擎。这可以防止第三方窃听正在传输的数据。

实际上，只有两个值得了解的WebSocket协议版本：

• Hixie76: 这个版本的协议增加了跨域安全性和头部哈希/签名。然而，由于协议设计的方式，很难将其支持添加到现有的 Web 服务器中。这是 iOS 当前支持的版本（希望 iOS 6 最终会更新至 IETF 6455）。

• IETF 6455：这是 WebSocket 协议的一种版本，由 IETF 在去年11月（2011 年11月）进行标准化。它是 IETF HyBi 工作组的工作成果（导致其之前迭代版本被标记为 HyBi XX）。目前，Chrome 和 Firefox 的当前版本以及 IE 10 和不久的 Opera 支持此版本。

WebSocket协议的版本hixie-76比早期版本更安全，版本hybi-07甚至更加安全。在hixie-76版本中添加了防止伪造请求保护机制。在hybi-07版本中添加了消息掩码。