WebSocket 協(xié)議是實(shí)現(xiàn)了瀏覽器與服務(wù)器全雙工通信的 HTML5 新協(xié)議之一�。傳統(tǒng)瀏覽器只允許通過 HTTP 與網(wǎng)站互動,然而對于富 Web 應(yīng)用 如聊天和游戲,HTTP 的效率不太高�����,因此HTML5 提供了socket API�,只需一個(gè)握手動作就能在瀏覽器和服務(wù)器之間建立快速通道。
然而在 11 月 26 日�����,安全研究人員發(fā)表了一篇研究報(bào)告(PDF)����,他們發(fā)現(xiàn) WebSocket 和透明代理存在嚴(yán)重安全問題,他們演示了基于 Upgrade 和 CONNECT 的緩存中毒攻擊,研究人員提議修改握手方式�。在 Bugzilla 上��,F(xiàn)irefox 開發(fā)者討論了該問題���,他們最后決定Firefox 4 將默認(rèn)不啟用 WebSockets����,從 Firefox 4 beta 8 開始用戶將需要修改設(shè)置才能啟用 WebSockets。未來在解決安全問題后����,F(xiàn)irefox 會選擇默認(rèn)啟用��。
轉(zhuǎn)自:http://www.oschina.net/news/13668/disabling-websockets-for-firefox-4