मैं websockets का उपयोग कर रहे एक एप्लिकेशन का निर्माण कर रहा हूँ। मैं केवल प्रमाणित उपयोगकर्ताओं को लॉग इन करने के बाद सर्वर के साथ एक वेबस्केट कनेक्शन खोलने की अनुमति देने जा रहा हूं और सत्र आईडी प्रदान कर रहा हूं।खुले websocket कनेक्शन के आसपास सुरक्षा समस्याएं क्या हैं?
एक बार जब मैंने प्रमाणीकृत उपयोगकर्ता के साथ वेबस्केट कनेक्शन खोला है, तो वर्तमान "पृष्ठ" में खुले वेबसाकेट कनेक्शन का विवरण होता है। इस बिंदु पर, यह कनेक्शन अपेक्षाकृत सुरक्षित है? या क्या मुझे वास्तव में वेबसाइकिल पर आने वाले अपने आवेदन स्तर प्रोटोकॉल के भीतर प्रत्येक संदेश पर कुछ टोकन जांचना चाहिए?
क्या कोई ज्ञात क्रॉस-साइट जालसाजी प्रकार सुरक्षा समस्याएं हैं? जहां कोई प्रमाणीकृत उपयोगकर्ता कुछ तरीकों से कुछ जावास्क्रिप्ट निष्पादित करने के लिए खुली वेबसाइट को खोला जा सकता है - जिसके परिणामस्वरूप खुले वेबसाकेट कनेक्शन का फायदा उठाने की क्षमता होती है?
उपरोक्त # 1 के संबंध में - हाँ, मैं मूल हैंडशेक में कुकी की जांच कर रहा हूं क्योंकि यह कनेक्शन सेट अप करने के लिए एक HTTP GET अनुरोध है। पिछले प्रमाणीकरण के माध्यम से कुकी के पास वैध सत्र आईडी होना चाहिए। इसलिए मैं सुरक्षित रूप से कनेक्शन प्रदान कर रहा हूं ... यह स्पष्ट नहीं था कि इस कनेक्शन के साथ खुले बैठे हुए और प्रत्येक संदेश को प्रमाणित नहीं करने के साथ अब भेद्यताएं क्या मौजूद हो सकती हैं ... – Rocketman