La verificación del encabezado Origin evita que un sitio web sea utilizado por otro sitio web que el usuario también esté visitando (por ejemplo, para extraer datos).
Según el enlace :
Los WebSockets no están restringidos por la política del mismo origen
Esto se debe a que la solicitud de actualización del protocolo tendrá acceso a las cookies del usuario, por lo tanto, si no está verificando el origen, la solicitud podría haberse realizado desde example.com
y no desde su sitio example.net
.
por ejemplo Si tiene un servicio WebSocket que devuelve algunos datos privados, no desea que se abra un sitio malicioso que el usuario haya leído al leer sus datos porque el usuario ha iniciado sesión.
No tiene nada que ver con impedir que otro sitio web descargue contenido de su sitio web. Si quisieran hacer esto, simplemente establecerían una conexión a su servicio web de socket desde su back-end, donde pueden configurar cualquier encabezado de origen. ellos quieren. Al verificar el encabezado de Origin, esto se detendrá para el contenido autenticado porque no pueden obtener su back-end para proporcionar la cookie de autenticación del usuario a su servicio web.
Por supuesto, podrían registrar un usuario y luego enviar la cookie de autenticación para eso usando su cliente HTTP back-end. Sin embargo, los únicos datos a los que accederían son los suyos, no los del usuario final. Es posible que desee detectar si ciertos nombres de usuario o direcciones IP remotas están reduciendo gran parte de su contenido público para evitar el uso de la funcionalidad en su servicio que puede no ser específica del usuario.