Вебсокет

Вебсокет

Диаграмма, описывающая соединение с использованием WebSocket
Международный стандарт	RFC   6455
Разработано	IETF
Промышленность	Информатика
Тип разъема	TCP
Веб-сайт	https://websockets.spec.whatwg.org/

WebSocket — это протокол компьютерной связи , обеспечивающий одновременный двусторонний канал связи через одно соединение протокола управления передачей (TCP). Протокол WebSocket был стандартизирован IETF как RFC   6455 в 2011 году. Текущая спецификация, позволяющая веб-приложениям использовать этот протокол, известна как WebSockets . ^[1] Это стандарт жизни, поддерживаемый WHATWG , и преемник API WebSocket от W3C . ^[2]

WebSocket отличается от HTTP, используемого для обслуживания большинства веб-страниц. Хоть они и разные, В RFC   6455 говорится, что WebSocket «предназначен для работы через HTTP-порты 443 и 80, а также для поддержки HTTP-прокси и посредников», что делает его совместимым с HTTP. WebSocket Для достижения совместимости при рукопожатии используется заголовок HTTP Upgrade. ^[3] для перехода с протокола HTTP на протокол WebSocket.

Протокол WebSocket обеспечивает полнодуплексное взаимодействие между веб-браузером (или другим клиентским приложением) и веб-сервером с меньшими издержками, чем полудуплексные альтернативы, такие как опрос HTTP , что облегчает передачу данных с сервера и на сервер в реальном времени. Это стало возможным благодаря предоставлению серверу стандартизированного способа отправки контента клиенту без предварительного запроса со стороны клиента и разрешению передачи сообщений туда и обратно, сохраняя при этом соединение открытым. Таким образом, между клиентом и сервером может происходить двусторонний диалог. Связь обычно осуществляется через TCP- порт номер 443 (или 80 в случае незащищенных соединений), что полезно для сред, которые блокируют несетевые подключения к Интернету с помощью брандмауэра . Кроме того, WebSocket обеспечивает передачу потоков сообщений поверх TCP. Только TCP имеет дело с потоками байтов, не обладая присущей им концепцией сообщения. Подобная двусторонняя связь браузер-сервер была достигнута нестандартными способами с использованием временных технологий, таких как Comet или Adobe Flash Player . ^[4]

Большинство браузеров поддерживают этот протокол, включая Google Chrome , Firefox , Microsoft Edge , Internet Explorer , Safari и Opera . ^[5]

Спецификация протокола WebSocket определяет ws (Вебсокет) и wss (WebSocket Secure) как две новые схемы единого идентификатора ресурса (URI). ^[6] которые используются для незашифрованных и зашифрованных соединений соответственно. Помимо названия схемы и фрагмента (т.е. # не поддерживается), остальные компоненты URI определены для использования общего синтаксиса URI . ^[7]

WebSocket впервые упоминался как TCPConnection в спецификации HTML5 в качестве заполнителя для API сокетов на основе TCP. ^[8] провел серию обсуждений В июне 2008 года Майкл Картер , в результате которых появилась первая версия протокола, известная как WebSocket. ^[9] До WebSocket полнодуплексная связь по порту 80 была возможна с использованием Comet каналов ; однако реализация Comet нетривиальна и из-за накладных расходов на TCP-квитирование и HTTP-заголовок она неэффективна для небольших сообщений. Протокол WebSocket призван решить эти проблемы без ущерба для безопасности сети. Название «WebSocket» было придумано Яном Хиксоном и Майклом Картером вскоре после этого в результате сотрудничества в чате #whatwg IRC. ^[10] и впоследствии автором для включения в спецификацию HTML5 был Ян Хиксон. В декабре 2009 года Google Chrome 4 стал первым браузером, предоставившим полную поддержку стандарта с включенным по умолчанию WebSocket. ^[11] Разработка протокола WebSocket впоследствии была передана из группы W3C и WHATWG в IETF в феврале 2010 года, и автором двух редакций был Ян Хиксон. ^[12]

После того, как протокол был отправлен и включен по умолчанию в нескольких браузерах, RFC   6455 был доработан Яном Феттом в декабре 2011 года.

RFC   7692 представил расширение сжатия для WebSocket с использованием алгоритма DEFLATE для каждого сообщения.

<!DOCTYPE html>
<script>
// Connect to server
ws = new WebSocket("ws://127.0.0.1/scoreboard") // Local server
// ws = new WebSocket("wss://game.example.com/scoreboard") // Remote server

ws.onopen = () => {
    console.log("Connection opened")
    ws.send("Hi server, please send me the score of yesterday's game")
}

ws.onmessage = (event) => {
    console.log("Data received", event.data)
    ws.close() // We got the score so we don't need the connection anymore
}

ws.onclose = (event) => {
    console.log("Connection closed", event.code, event.reason, event.wasClean)
}

ws.onerror = () => {
    console.log("Connection closed due to error")
}
</script>

from socket import socket
from base64 import b64encode
from hashlib import sha1

MAGIC = b"258EAFA5-E914-47DA-95CA-C5AB0DC85B11"

# Create socket and listen at port 80
ws = socket()
ws.bind(("", 80))
ws.listen()
conn, addr = ws.accept()

# Parse request
for line in conn.recv(4096).split(b"\r\n"):
    if line.startswith(b"Sec-WebSocket-Key"):
        nonce = line.split(b":")[1].strip()

# Format response
response = f"""\
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: {b64encode(sha1(nonce + MAGIC).digest()).decode()}

"""

conn.send(response.replace("\n", "\r\n").encode())

while True: # decode messages from the client
    header = conn.recv(2)
    FIN = bool(header[0] & 0x80) # bit 0
    assert FIN == 1, "We only support unfragmented messages"
    opcode = header[0] & 0xf # bits 4-7
    assert opcode == 1 or opcode == 2, "We only support data messages"
    masked = bool(header[1] & 0x80) # bit 8
    assert masked, "The client must mask all frames"
    payload_size = header[1] & 0x7f # bits 9-15
    assert payload_size <= 125, "We only support small messages"
    masking_key = conn.recv(4)
    payload = bytearray(conn.recv(payload_size))
    for i in range(payload_size):
        payload[i] = payload[i] ^ masking_key[i % 4]
    print(payload)

Веб-приложение (например, веб-браузер) может использовать WebSocket интерфейс для подключения к серверу WebSocket.

Шаги:

1. Открытие рукопожатия ( HTTP-запрос + HTTP-ответ ) для установления соединения.
2. Сообщения данных для передачи данных приложения.
3. Закрытие рукопожатия (два кадра Close) для закрытия соединения.

Клиент отправляет HTTP-запрос ( метод GET , версия ≥ 1.1 ), а сервер возвращает HTTP-ответ с кодом состояния 101 ( Протоколы переключения ) в случае успеха. Это означает, что сервер WebSocket может использовать тот же порт, что и HTTP (80) и HTTPS (443), поскольку рукопожатие совместимо с HTTP. ^[28]

Пример запроса: ^[38]

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com

Пример ответа:

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat

В HTTP каждая строка заканчивается \r\n и последняя строка пуста.

# Calculate Sec-WebSocket-Accept using Sec-WebSocket-Key
from base64 import b64encode
from hashlib import sha1
from os import urandom
# key = b64encode(urandom(16)) # Client should do this
key = b"x3JJHMbDL1EzLkh9GBhXDw==" # Value in example request above
magic = b"258EAFA5-E914-47DA-95CA-C5AB0DC85B11" # Protocol constant
print(b64encode(sha1(key + magic).digest()))
# Output: HSmrc0sMlYUkAGmm5OPpG2HaGWk=

После установления соединения связь переключается на протокол на основе двоичных кадров, который не соответствует протоколу HTTP.

Sec-WebSocket-Key и Sec-WebSocket-Accept предназначены для предотвращения кэширующим прокси-сервером предыдущего диалога WebSocket, повторной отправки ^[39] и не обеспечивает никакой аутентификации, конфиденциальности или целостности.

Хотя некоторые серверы принимают короткие Sec-WebSocket-Key, многие современные серверы отклонят запрос с ошибкой «неверный заголовок Sec-WebSocket-Key».

После открывающего рукопожатия клиент и сервер могут в любое время отправлять друг другу сообщения, например сообщения с данными (текстовые или двоичные) и управляющие сообщения (закрытие, пинг, понг). Сообщение состоит из одного или нескольких кадров.

Фрагментация позволяет разделить сообщение на два или более кадров. Это позволяет отправлять сообщения с доступными исходными данными, но с неизвестной полной длиной. Без фрагментации все сообщение должно быть отправлено в одном кадре, поэтому необходима полная длина, прежде чем можно будет отправить первый байт, для чего требуется буфер. ^[40] Это также позволяет мультиплексировать несколько потоков одновременно (например, чтобы избежать монополизации сокета для одной большой полезной нагрузки ). ^[41]

• состоит Нефрагментированное сообщение из одного кадра с FIN = 1 и opcode ≠ 0.
• состоит Фрагментированное сообщение из одного кадра с FIN = 0 и opcode ≠ 0, за которым следует ноль или более кадров с FIN = 0 и opcode = 0и завершается одним кадром с FIN = 1 и opcode = 0.

for i = 0 to payload_length - 1
    payload[i] = payload[i] xor masking_key[i modulo 4]

Тип рамы		Код операции	Связанный Веб-API	Описание	Цель	Фрагментированный	Макс. длина полезной нагрузки
Продолжение		0		Идентифицирует промежуточный кадр фрагментированного сообщения.			⁠ ${\displaystyle 2^{63}-1}$⁠ байт
Кадр данных	Текст	1	send(), onmessage	Текст приложения в кодировке UTF-8.	Данные приложения	Да
	Двоичный	2		Двоичные данные приложения.
		3–7		Сдержанный
Рамка управления	Закрывать	8	close(), onclose	Кадр закрытия отправляется для запуска закрывающего рукопожатия , которое может предотвратить потерю данных, дополняя закрывающее рукопожатие TCP . [48] Ни один кадр не может быть отправлен после кадра Close. Если получен кадр Close, а предыдущий кадр Close не был отправлен, должен быть отправлен ответный кадр Close с той же полезной нагрузкой. Полезная нагрузка является необязательной, но если она присутствует, она должна начинаться с двухбайтового кода причины беззнакового целого числа с обратным порядком байтов , за которым может следовать сообщение причины в кодировке UTF-8 длиной не более 123 байтов. [49]	Состояние протокола	Нет	125 байт
	Пинг	9		Может использоваться для задержки измерения , поддержания активности и пульса . Обе стороны могут инициировать пинг (с любой полезной нагрузкой). Тот, кто его получит, должен немедленно отправить обратно понг с той же полезной нагрузкой. Понг следует игнорировать, если предыдущий пинг не был отправлен. [50] [51]
	Понг	10
		11–15		Сдержанный

Безопасная версия протокола WebSocket реализована в Firefox 6. ^[54] Сафари 6, Гугл Хром 14, ^[55] Опера 12.10 и Интернет Эксплорер 10. ^[56] Подробный отчет о наборе тестов протокола ^[57] перечисляет соответствие этих браузеров конкретным аспектам протокола.

Более старая, менее безопасная версия протокола была реализована в Opera 11 и Safari 5, а также мобильная версия Safari в iOS 4.2 . ^[58] Браузер BlackBerry в OS7 реализует WebSockets. ^[59] Из-за уязвимостей он был отключен в Firefox 4 и 5, ^[60] и Опера 11. ^[61] Используя инструменты разработчика браузера, разработчики могут проверять подтверждение связи WebSocket, а также фреймы WebSocket. ^[62]

• Nginx поддерживает WebSockets с 2013 года, реализовано в версии 1.3.13. ^[71] включая работу в качестве обратного прокси-сервера и балансировщика нагрузки приложений WebSocket. ^[72]

• HTTP-сервер Apache поддерживает WebSockets с июля 2013 года, реализовано в версии 2.4.5. ^{[73] [74]}
• Службы Internet Information Services добавили поддержку WebSockets в версии 8, выпущенной вместе с Windows Server 2012 . ^[75]
• Lighttpd поддерживает WebSockets с 2017 года, реализованный в Lighttpd 1.4.46. ^[76] Lighttpd mod_proxy может выступать в качестве обратного прокси-сервера и балансировщика нагрузки приложений WebSocket. Lighttpd mod_wstunnel может выступать в качестве конечной точки WebSocket для передачи произвольных данных, в том числе в формате JSON , серверному приложению. Lighttpd поддерживает WebSockets через HTTP/2 с 2022 года, реализовано в Lighttpd 1.4.65. ^[77]

В отличие от обычных междоменных HTTP-запросов, запросы WebSocket не ограничены политикой одного и того же источника . Таким образом, серверы WebSocket должны проверять заголовок «Origin» на соответствие ожидаемым источникам во время установления соединения, чтобы избежать атак межсайтового перехвата WebSocket (аналогично подделке межсайтового запроса ), что может быть возможно, когда соединение аутентифицируется с помощью файлов cookie или HTTP. аутентификация. Лучше использовать токены или аналогичные механизмы защиты для аутентификации соединения WebSocket, когда через WebSocket передаются конфиденциальные (частные) данные. ^[78] Живой пример уязвимости был замечен в 2020 году в виде Cable Haunt .

Реализации клиента протокола WebSocket пытаются определить, настроен ли пользовательский агент на использование прокси-сервера при подключении к целевому хосту и порту, и если да, то использует метод HTTP CONNECT для настройки постоянного туннеля.

Хотя сам протокол WebSocket не знает о прокси-серверах и брандмауэрах, он поддерживает HTTP-совместимое рукопожатие, что позволяет HTTP-серверам использовать свои порты HTTP и HTTPS по умолчанию (80 и 443 соответственно) со шлюзом или сервером WebSocket. Протокол WebSocket определяет префиксы ws:// и wss://, обозначающие соединение WebSocket и защищенное соединение WebSocket соответственно. Обе схемы используют механизм обновления HTTP для обновления до протокола WebSocket. Некоторые прокси-серверы прозрачны и отлично работают с WebSocket; другие будут препятствовать правильной работе WebSocket, что приведет к сбою соединения. В некоторых случаях может потребоваться дополнительная настройка прокси-сервера, а некоторые прокси-серверы могут потребоваться обновить для поддержки WebSocket.

Если незашифрованный трафик WebSocket проходит через явный или прозрачный прокси-сервер без поддержки WebSocket, соединение, скорее всего, не удастся. ^[79]

Если используется зашифрованное соединение WebSocket, то использование Transport Layer Security (TLS) в защищенном соединении WebSocket гарантирует, что HTTP CONNECT Команда выдается, когда браузер настроен на использование явного прокси-сервера. При этом устанавливается туннель, который обеспечивает низкоуровневую сквозную TCP-связь через HTTP-прокси между клиентом WebSocket Secure и сервером WebSocket. В случае прозрачных прокси-серверов браузер не знает о прокси-сервере, поэтому нет HTTP CONNECT отправляется. Однако, поскольку проводной трафик зашифрован, промежуточные прозрачные прокси-серверы могут просто пропускать зашифрованный трафик, поэтому вероятность успешного соединения WebSocket гораздо выше, если используется WebSocket Secure. Использование шифрования требует затрат ресурсов, но часто обеспечивает самый высокий уровень успеха, поскольку оно будет проходить через безопасный туннель.

Проект середины 2010 года (версия hixie-76) нарушил совместимость с обратными прокси-серверами и шлюзами, включив восемь байтов ключевых данных после заголовков, но не объявив эти данные в Content-Length: 8 заголовок. ^[80] Эти данные не были отправлены всеми промежуточными посредниками, что могло привести к сбою протокола. Более поздние проекты (например, hybi-09 ^[81] ) поместите ключевые данные в Sec-WebSocket-Key заголовок, решение этой проблемы.

• Рабочая группа IETF по гипертекстовой двунаправленной передаче (HyBi)
  • RFC   6455 Протокол WebSocket — предлагаемый стандарт, опубликованный рабочей группой IETF HyBi.
  • Протокол WebSocket — Интернет-проект, опубликованный рабочей группой IETF HyBi.
  • Протокол WebSocket — оригинальное предложение протокола Яна Хиксона.
• API WebSocket. Архивировано 7 июня 2015 г. на Wayback Machine — рабочий проект W3C спецификации API.
• API WebSocket — кандидата в рекомендации W3C. спецификация API-
• WebSocket.org. Архивировано 16 сентября 2018 г. на Wayback Machine. Демонстрации WebSocket, петлевые тесты, общая информация и сообщество.