El protocolo WebSockets es una bestia difícil de evaluar en este momento, ya que está cambiando con frecuencia. Después de las fallas en draft-hixie-thewebsocketprotocol-76 del protocolo WebSockets descubiertas por Adam Barth et al. Hace unos meses, Firefox deshabilitó la implementación de WebSockets en aproximadamente: preferencias de configuración. Desde entonces, se está preparando una nueva versión del protocolo, actualmente hasta draft-ietf-hybi-thewebsocketprotocol-07, que intenta corregir los defectos descubiertos. Los navegadores se adaptan rápidamente a la nueva versión, ver, por ejemplo, error de Mozilla # 640003 . Pero, en el otro extremo, los servidores WebSocket aún intentan mantener la compatibilidad con versiones anteriores, por ejemplo. El servidor Socket.IO sigue siendo compatible con la versión anterior 76 .
Por lo tanto, es posible que aún intentes conectarte a un servidor WS fuera del navegador, forzando una versión anterior del protocolo (consulta mi herramienta ya mencionada en los comentarios anteriores).
Pero aún así, no puede enviar un tráfico completamente arbitrario a través de la conexión WS. Los marcos comienzan con el byte NUL, terminan con \ xFF, con la cadena UTF-8 entre (+ un saludo), por lo que los ataques de protocolo cruzado no son tan fáciles de realizar. Sin embargo, prefiero usar WSS: // versión encriptada que la de texto simple.