¿Pueden los clientes visitar mi sitio y spam socket.emit (algo); a mi servidor, o hay algo de seguridad detrás de socket.io?

Question

¿Pueden los clientes visitar mi sitio y spam socket.emit (algo); a mi servidor, o hay algo de seguridad detrás de socket.io?

#1 de jas- (-1 votos)

2

Estoy usando Socket.IO y el lado del cliente tiene este aspecto.

<script src="/socket.io/socket.io.js"></script>
<script>
    var socket = io();
    socket.emit("sendData", "hello!");
</script>

Me pregunto qué está impidiendo que un usuario aleatorio, se una a mi sitio, vea el código y le agregue las siguientes líneas, mediante la aplicación de vista de código de Chrome o algo así:

<script src="/socket.io/socket.io.js"></script>
<script>
    var socket = io();
    for(i = 0; i < 50; i++) {
        socket.emit("sendData", "hello!");
    }
</script>

vulnerability server client

pregunta Felipe Garcia-Diaz 24.09.2015 - 01:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas vulnerability server client

Legalidad de la descarga de hashes filtrados / intento de craqueo [cerrado] ¿Me han pirateado?

score -1 · Answer 1

Un poco de una pregunta cargada realmente. Sin embargo;

Si bien es una posibilidad, es la naturaleza de HTTP (S) & Los protocolos WS (S). Hacer peticiones es solo eso, una petición. Respecto a la pregunta subyacente que se plantea con respecto a la seguridad ...

Para las restricciones del navegador confía en la política de origen , para el contenido inyectado a través de MITM attack vectors debe utilizar el wss (Web Socket Secrurity) que le dejaría con el típico Vectores de ataque XSS .

Estos se pueden mitigar mediante el uso de una combinación de Encabezados de seguridad HTTP implementado con la especificación HTML5 y desinfectando su entrada y salida que se realiza mejor con codificación de caracteres .