Untuk mendapatkan sambungan WebSocket HTML5 menggunakan WSS, gunakan pertama WSS: // dalam kod klien dan bukannya WS: // untuk memastikan komunikasi yang disulitkan. Kedua, sediakan sijil SSL/TLS yang sah di pelayan, memastikan ia meliputi domain yang tepat dan dikonfigurasi dengan betul. Ketiga, menguatkuasakan sambungan selamat dengan menyekat titik akhir yang tidak bercagar dalam pengeluaran dan mencegah serangan penurunan. Keempat, melaksanakan lapisan keselamatan tambahan seperti pengesahan klien, pengesahan asal, dan pengurangan kadar untuk meningkatkan perlindungan. Langkah -langkah ini memastikan bahawa komunikasi WebSocket sepenuhnya dijamin dari penyulitan untuk mengakses kawalan.

Menggunakan WSS (WebSocket Secure) adalah salah satu cara yang paling mudah untuk menjamin sambungan WebSocket HTML5. Ia berfungsi sama seperti bagaimana HTTPS menjamin trafik HTTP - dengan menyulitkan komunikasi antara klien dan pelayan menggunakan TLS (keselamatan lapisan pengangkutan). Berikut adalah cara anda boleh melaksanakannya dengan berkesan.

Gunakan WSS dan bukannya WS dalam Kod Pelanggan

Langkah pertama dan paling asas ialah memastikan kod klien anda menggunakan wss:// bukannya ws:// . "S" bermaksud "selamat," sama seperti dengan HTTPS.

Contohnya:

 Const Socket = New WebSocket ('WSS: //Yourdomain.com/Socket');

Ini memberitahu penyemak imbas untuk mewujudkan sambungan yang disulitkan dari awal. Jika anda menggunakan ws:// , semua data dihantar dalam teks yang jelas, yang memudahkan penyerang untuk menguping atau merosakkan data.

Juga, pastikan jika anda menjana URL secara dinamik berdasarkan pembolehubah persekitaran atau input pengguna, ia sentiasa mungkir kepada WSS apabila berjalan dalam pengeluaran.

Sediakan sijil SSL/TLS yang sah di pelayan

Walaupun anda menggunakan wss:// , ia tidak akan membantu melainkan pelayan mempunyai sijil SSL/TLS yang sah dipasang. Jika tidak, penyemak imbas akan menyekat sambungan disebabkan oleh kebimbangan keselamatan.

Inilah yang anda perlukan:

• Nama domain yang menunjuk ke pelayan anda
• Sijil SSL yang dikeluarkan oleh pihak berkuasa sijil yang dipercayai (seperti Let's Encrypt, Digicert, dll.)
• Konfigurasi yang betul pada pelayan WebSocket anda untuk menggunakan sijil tersebut

Sebagai contoh, jika anda menggunakan node.js dengan perpustakaan ws dan pelayan HTTPS, persediaan anda mungkin kelihatan seperti ini:

 const fs = memerlukan ('fs');
const https = memerlukan ('https');
const WebSocket = memerlukan ('ws');

const server = https.CreateServer ({
  cert: fs.readFileSync ('/path/to/fullChain.pem'),
  Kunci: fs.readFileSync ('/path/to/privkey.pem')
});

const wss = new WebSocket.server ({Server});

wss.on ('sambungan', sambungan fungsi (ws) {
  ws.on ('mesej', fungsi masuk (mesej) {
    console.log ('diterima: %s', mesej);
  });
});

server.listen (443, () => {
  Console.log ('Server Websocket Secure berjalan di port 443');
});

Pastikan sijil meliputi domain yang tepat yang anda sambungkan ke ( yourdomain.com , bukan localhost ), atau penyemak imbas masih akan menunjukkan amaran atau menyekat sambungan sepenuhnya.

Menguatkuasakan sambungan yang selamat dan mencegah serangan penurunan

Kadang -kadang, pemaju menguji dengan websockets yang tidak disulitkan semasa pembangunan tetapi lupa untuk melumpuhkannya dalam pengeluaran. Ini membuka kemungkinan serangan penurunan - di mana penyerang memaksa pelanggan untuk menyambung melalui ws:// bukan wss:// .

Untuk mengelakkan ini:

• Jangan dedahkan ws:// Endpoint dalam Pengeluaran
• Gunakan peraturan firewall atau tetapan proksi terbalik untuk menyekat trafik bukan HTTPS/WSS
• Galakan mana -mana plaintext WebSocket percubaan untuk versi yang selamat (walaupun pelanggan biasanya tidak akan mengikuti pengalihan untuk websocket)

Jika anda menggunakan proksi terbalik seperti Nginx atau Apache di hadapan pelayan WebSocket anda, pastikan ia dikonfigurasi untuk hanya menerima sambungan yang selamat dan meneruskannya dengan betul.

Pertimbangkan lapisan keselamatan tambahan

Walaupun WSS mengendalikan penyulitan, ia tidak meliputi pengesahan atau kebenaran. Anda akan mahu menambah lapisan itu sendiri:

• Memerlukan pelanggan untuk mengesahkan sebelum membuat sambungan WebSocket (contohnya, menggunakan token JWT yang diluluskan dalam rentetan pertanyaan atau tajuk)
• Mengesahkan asal-usul permintaan websocket yang masuk untuk mengelakkan penyalahgunaan silang asal
• Kadar had atau memantau tingkah laku yang mencurigakan

Contoh: Sahkan sebelum membenarkan peningkatan WebSocket dalam node.js:

 wss.on ('headers', (headers, req) => {
  const token = url baru (req.url, `http: // $ {req.headers.host}}`) .searchParams.get ('token');
  jika (! isvalidToken (token)) {
    // Tutup sambungan atau jangan biarkan naik taraf
  }
});

Ini tidak ditangani secara automatik, jadi anda perlu membinanya ke dalam logik aplikasi anda.

WSS memberi anda penyulitan keluar dari kotak, tetapi mendapatkan sambungan WebSocket melampaui itu. Anda perlu mengendalikan pengesahan, mengesahkan asal -usul, dan pastikan persediaan pelayan anda kukuh. Pada asasnya, tidak sukar untuk menubuhkan WSS, tetapi mudah untuk mengabaikan langkah -langkah tambahan yang menjaga perkara yang benar -benar selamat.

Atas ialah kandungan terperinci Mengamankan sambungan WebSocket HTML5 menggunakan WSS.. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!