WSSを使用してHTML5 WebSocket接続を保護(hù)するには、最初にWSS：//でWS：//でWSS：//を使用して、暗號(hào)化された通信を確保します。次に、サーバーに有効なSSL/TLS証明書を設(shè)定し、正確なドメインをカバーし、適切に構(gòu)成されていることを確認(rèn)します。第三に、生産において無擔(dān)保のエンドポイントをブロックし、ダウングレード攻撃を防止することにより、セキュアな接続を?qū)g施します。第4に、保護(hù)を強(qiáng)化するために、クライアント認(rèn)証、起源の検証、レート制限などの追加のセキュリティレイヤーを?qū)g裝します。これらの手順により、WebSocket通信が暗號(hào)化から完全に保護(hù)され、アクセス制御が保証されます。

WSS（Websocket Secure）を使用することは、HTML5 WebSocket接続を保護(hù)する最も簡単な方法の1つです。 TLSを使用してクライアントとサーバー間の通信を暗號(hào)化することにより、HTTPSがHTTPトラフィックを保護(hù)する方法と同様に機(jī)能します（トランスポートレイヤーセキュリティ）。効果的に実裝する方法は次のとおりです。

クライアントコードでWSの代わりにWSSを使用します

最初で最も基本的なステップは、クライアント側(cè)のコードがwss://の代わりにws://使用するようにすることです。 「S」は、HTTPSと同様に、「Secure」の略です。

例えば：

 const socket = new WebSocket（ 'wss：//yourdomain.com/socket'）;

これにより、ブラウザは最初から暗號(hào)化された接続を確立するように指示します。プレーンws://使用している場合、すべてのデータが明確なテキストで送信されるため、攻撃者はデータを盜用または改ざんしやすくなります。

また、環(huán)境変數(shù)またはユーザー入力に基づいてURLを動(dòng)的に生成している場合は、生産中に実行時(shí)に常にWSSにデフォルトであることを確認(rèn)してください。

サーバーに有効なSSL/TLS証明書を設(shè)定します

wss://使用していても、サーバーに有効なSSL/TLS証明書がインストールされていない限り、それは役に立ちません。それ以外の場合、ブラウザはセキュリティの懸念により接続をブロックします。

これが必要なものです：

• サーバーを指すドメイン名
• 信頼できる証明書當(dāng)局によって発行されたSSL証明書（Let's Encrypt、Digicertなど）
• その証明書を使用するWebSocketサーバー上の適切な構(gòu)成

たとえば、 wsライブラリとHTTPSサーバーでnode.jsを使用している場合、セットアップは次のようになる場合があります。

 const fs = require（ 'fs'）;
const https = require（ 'https'）;
const websocket = require（ 'ws'）;

const server = https.createserver（{
  cert：fs.readfilesync（ '/path/to/fullchain.pem'）、
  キー：fs.readfilesync（ '/path/to/privkey.pem'）
}）;

const wss = new websocket.server（{server}）;

wss.on（ 'connection'、function connection（ws）{
  ws.on（ 'message'、function incoming（message）{
    console.log（ '受信：％s'、メッセージ）;
  }）;
}）;

server.listen（443、（）=> {
  console.log（ 'ポート443で実行されているセキュアWebsocketサーバー'）;
}）;

証明書が接続している正確なドメイン（ localhostではなくyourdomain.com ）をカバーしていることを確認(rèn)します。または、ブラウザが引き続き警告を表示するか、接続を完全にブロックします。

安全な接続を強(qiáng)制し、格下げ攻撃を防ぎます

開発者は、開発中に暗號(hào)化されていないWebSocketを使用してテストしますが、生産中にそれらを無効にすることを忘れることがあります。これにより、攻撃者が攻撃者がws://の代わりにwss://介して接続することを強(qiáng)制する攻撃のダウングレードの可能性が開きます。

これを防ぐために：

• 保有されていないws://エンドポイントを生産中に公開しないでください
• ファイアウォールルールを使用するか、プロキシ設(shè)定を逆にして、非HTTPS/WSSトラフィックをブロックする
• プレーンテキストWebsocketの試みを安全なバージョンにリダイレクトします（ただし、クライアントは通常、WebSocketのリダイレクトに従うことはありません）

Websocketサーバーの前でNginxやApacheなどの逆プロキシを使用している場合は、安全な接続のみを受け入れるように構(gòu)成されていることを確認(rèn)し、適切に転送してください。

追加のセキュリティレイヤーを検討してください

WSSは暗號(hào)化を処理しますが、認(rèn)証や承認(rèn)をカバーしません。あなたはそれらのレイヤーを自分で追加したいです：

• Websocket接続を確立する前にクライアントに認(rèn)証する必要があります（たとえば、クエリ文字列またはヘッダーに渡されたJWTトークンを使用）
• オリジンの亂用を防ぐために、著信Websocketリクエストの起源を検証する
• 疑わしい動(dòng)作のレート制または監(jiān)視

例：node.jsでWebSocketアップグレードを許可する前に認(rèn)証：

 wss.on（ 'headers'、（headers、req）=> {
  const token = new url（req.url、 `http：// $ {req.headers.host}`）.searchparams.get（ 'token'）;
  if（！isvalidtoken（token））{
    //接続を閉じるか、アップグレードを許可しないでください
  }
}）;

これは自動(dòng)的に処理されないため、アプリロジックに組み込む必要があります。

WSSは箱から出して暗號(hào)化を提供しますが、WebSocket接続を保護(hù)することはそれを超えています。認(rèn)証を処理し、起源を検証し、サーバーのセットアップがしっかりしていることを確認(rèn)する必要があります?；镜膜恕SSをセットアップするのは難しくありませんが、物事を本當(dāng)に安全に保つ余分なステップを見落とすのは簡単です。

以上がWSSを使用してHTML5 WebSocket接続を保護(hù)します。の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。