I client possono visitare il mio sito e spam socket.emit (qualcosa); al mio server, o c'è qualche sicurezza dietro socket.io?

2

Sto usando Socket.IO e il lato client è simile a questo.

<script src="/socket.io/socket.io.js"></script>
<script>
    var socket = io();
    socket.emit("sendData", "hello!");
</script>

Mi chiedo cosa stia fermando un utente casuale, dall'adesione al mio sito, guardando il codice e aggiungendo le seguenti righe ad esso, utilizzando l'app di visualizzazione del codice di Chrome o qualcosa del genere:

<script src="/socket.io/socket.io.js"></script>
<script>
    var socket = io();
    for(i = 0; i < 50; i++) {
        socket.emit("sendData", "hello!");
    }
</script>
    
posta Felipe Garcia-Diaz 24.09.2015 - 01:56
fonte

1 risposta

-1

Un po 'di domande caricate davvero. Tuttavia;

Anche se questa è una possibilità, è la natura di HTTP (S) & i protocolli WS (S). Fare richieste è solo questo, una richiesta. Per quanto riguarda la domanda di fondo relativa alla sicurezza ...

Per le restrizioni del browser ti stai affidando alla stessa politica di origine , per il contenuto inserito tramite MITM vettori di attacco dovresti utilizzare protocollo wss (Web Socket Secrurity) che ti lascerebbe poi il tipico Vettori di attacco XSS .

Questi possono essere mitigati utilizzando una combinazione delle Intestazioni di sicurezza HTTP implementate con le specifiche HTML5 e sanificazione dell'input e dell'output che è meglio fare con codifica dei caratteri .

    
risposta data 24.09.2015 - 02:50
fonte

Leggi altre domande sui tag