我读到 WS 仅适用于 HTTP,而 WSS 适用于 HTTP 和 HTTPS。 WSS(安全 Web 套接字)连接在 HTTP 服务器上是否与在 HTTPS 服务器上一样安全?如果网站/服务器未加密,Web 套接字安全 (WSS) 连接是否仍通过 TLS/SSL 加密?
最佳答案
“wss 适用于 http 和 https” ???这是一个奇怪的短语。
wss 是安全的,因为它意味着“https 上的 WebSocket 协议(protocol)”。 WebSocket 协议(protocol)本身并不安全。没有安全的 WebSocket 协议(protocol),只有“基于 http 的 WebSocket 协议(protocol)”和“基于 https 的 WebSocket 协议(protocol)”。另见 this answer .
作为 nv-websocket-client的作者(Java 的 WebSocket 客户端库),我也怀疑这句话 “如果打开安全 WebSocket 连接的 HTML/JavaScript 来自非安全 HTTP,WebSocket 连接仍然是安全的”在 oberstet 的回答中。
阅读RFC 6455 (WebSocket 协议(protocol))以获得正确的答案。要成为一名真正的工程师,请不要避免阅读 RFC。仅在技术博客和 StackOverflow 上搜索答案永远不会带您到正确的地方。
关于security - HTTP 上的 WS 与 HTTPS 上的 WSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26791107/