WebSocket 協(xié)議是實現(xiàn)了瀏覽器與服務(wù)器全雙工通信的 HTML5 新協(xié)議之一。傳統(tǒng)瀏覽器只允許通過 HTTP 與網(wǎng)站互動,然而對于富 Web 應(yīng)用 如聊天和游戲,HTTP 的效率不太高,因此HTML5 提供了socket API,只需一個握手動作就能在瀏覽器和服務(wù)器之間建立快速通道。
然而在 11 月 26 日,安全研究人員發(fā)表了一篇研究報告(PDF),他們發(fā)現(xiàn) WebSocket 和透明代理存在嚴重安全問題,他們演示了基于 Upgrade 和 CONNECT 的緩存中毒攻擊,研究人員提議修改握手方式。在 Bugzilla 上,F(xiàn)irefox 開發(fā)者討論了該問題,他們最后決定Firefox 4 將默認不啟用 WebSockets,從 Firefox 4 beta 8 開始用戶將需要修改設(shè)置才能啟用 WebSockets。未來在解決安全問題后,F(xiàn)irefox 會選擇默認啟用。
轉(zhuǎn)自:http://www.oschina.net/news/13668/disabling-websockets-for-firefox-4