项目复盘:websocket不受跨域限制的原理

主要还是因为:

1、WebSocket 是独立于 HTTP 的应用层协议,通过 HTTP 建立连接后,完全脱离 HTTP 语义约束。这意味着

  • 不受 HTTP 同源策略限制

  • 不需要预检请求

  • 不依赖 CORS 头机制

2、建立连接时的握手请求仍使用 HTTP 格式,但具有特殊标记:

类似于下述代码,当浏览器发起 WebSocket 连接时,会自动将当前网页的源(协议+域名+端口)填入 Origin 请求头。内部实现了跨域

javascript 复制代码
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: https://client.example.com  // 关键跨域标识
Sec-WebSocket-Version: 13

注:虽然目前服务端不做白名单校验也能成功,但为了安全还是要做一下di~

服务端可以用下列代码进行验证以防恶意操作

javascript 复制代码
wss.on('connection', (ws, req) => {
// 进行白名单校验
  const allowedOrigins = ['https://myapp.com', 'https://admin.myapp.com'];
  if (!allowedOrigins.includes(req.headers.origin)) {
    ws.close(1008, 'Invalid origin'); // 关闭非法来源连接
    return;
  }
}
相关推荐
极客先躯1 小时前
高级java每日一道面试题-2025年4月13日-微服务篇[Nacos篇]-Nacos如何处理网络分区情况下的服务可用性问题?
java·服务器·网络·微服务·nacos·高级面试
2301_780789662 小时前
高防IP如何针对DDoS攻击特点起防护作用
网络协议·tcp/ip·ddos·高防ip·高防cdn
羊小猪~~2 小时前
深度学习基础--CNN经典网络之InceptionV3详解与复现(pytorch)
网络·人工智能·pytorch·python·深度学习·机器学习·cnn
rufeike2 小时前
Wireshark 搜索组合速查表
网络·测试工具·wireshark
Want5952 小时前
大模型安全吗?数据泄露与AI伦理的黑暗面!
网络·人工智能·安全·aigc
小白iP代理3 小时前
长效IP与短效IP:如何选择适合业务的代理类型
网络·tcp/ip·安全
游戏开发爱好者84 小时前
iOS15描述文件在哪下载?iOS15测试版描述文件下载与升级教程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
学习溢出4 小时前
【网络安全】OWASP 十大漏洞
网络·安全·web安全·网络安全
hgdlip4 小时前
手机使用移动网络ip地址是固定的吗?如何查看
网络·tcp/ip·智能手机