如何 100% 验证我通过 WebSocket 收到请求或连接的域?
理想情况下,这应该不超过一秒钟。
它不应该像标头中的 Host 或 Origin 字段那样容易受到欺骗。
我考虑过使用 JWT,但又出现了同样的问题:如何验证域名?
Node.js
我尝试了很多方法,例如 headers、JWT 等,但我得出的结论是,如果需要,所有这些都可以通过简单地复制几个值并通过邮递员发送请求来伪造
嗯,这要看情况。如果 Websocket 连接位于两台服务器之间,我肯定会考虑使用 mLTS (https://www.cloudflare.com/learning/access-management/what-is-mutual-tls/)。否则,我认为反 csrf 令牌也应该起作用。 (https://www.invicti.com/blog/web-security/protecting-website-using-anti-csrf-token/)