一、简介
WebSocket是一种全双工协议,client 和server 都可以向对方主动发送消息,server 不需要等待client 的请求。和http协议类似,websocket也定义了加密和非加密两种分别是wss 和ws。
二、websocket握手
client request:
请求一个websocket连接,client 需要先发送一个http 请求,在请求头里加上一些东西告诉server 我需要建立一个websocket连接。
GET/chatHTTP/1.1
Host:server.example.com
Upgrade:websocket
Connection:Upgrade
Sec-WebSocket-Key:x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol:chat, superchat //可选
Sec-WebSocket-Version:13
Origin:http://example.com
Upgrade:websocket,server 接收到请求之后就会知道,client 发起的是一个websocket 连接,而不是普通的http 连接。
Sec-WebSocket-Key,这个是base64编码的随机字节,提供基本的防护,比如恶意的连接,或者无意的连接。
Sec-WebSocket-Protocol,在同一个URL 下,希望server采用的交流协议。
Sec-WebSocket-Version,websocket 的版本号。
server response:
server 收到请求之后会返回给client一个response,表示我知道我们之间的交流要使用websocket了,同时升级成websocket连接。
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat
Sec-WebSocket-Accept:server 在接收到的Sec-WebSocket-Key密钥后追加一段神奇字符串“258EAFA5-E914-47DA-95CA-C5AB0DC85B11”,并将结果进行sha-1哈希,然后再进行base64加密返回给客户端。如果加密算法错误,client校验的时候会直接报错,否则直接触发onopen 事件。
** key/accept 请求头主要是为了防止意外的、恶意的连接,它无法保证数据的安全性。
1)比如http请求不小心请求到ws 服务端,服务端可以直接拒绝
2)确保服务端知道websocket
3)在ajax发起请求的时候,禁止key 请求头,避免ajax请求升级
4)防止反向代理返回的错误数据,如果代理收到两次ws 升级请求,代理会把第一次请求的结果缓存,发给第二次请求
HTTP/1.1 101 Switching Protocols,101为服务器返回的状态码,所有非101的状态码都表示handshake并未完成。
参考链接:
https://www.cnblogs.com/chyingp/p/websocket-deep-in.html
https://www.cnblogs.com/lizhenghn/p/5155933.html
