禁用浏览器端的WebSockets压缩和xor掩码

Question

我在我的NodeJS项目中使用"WS“库。可以禁用压缩吗？我想在服务器端做这件事

ws = new WebSocketServer({port: 8889, perMessageDeflate: false})

但不起作用

Accept-Encoding: gzip, deflate
Sec-WebSocket-Extensions: permessage-deflate

我不知道该怎么做才能让xor面具失效。

Answer 1

您已经禁用了服务器中的每条消息，但是您看到客户端正在宣布它的处理能力，这是正常的。我的意思是，您粘贴的headers来自客户端请求(因为服务器不发送Accept-*头)。

要知道是否最终选择压缩作为连接的扩展，请检查服务器响应中的Sec-WebSocket-Extensions头。

XOR掩蔽不能禁用，需要从客户端到浏览器来减少一些可能的攻击和代理程序执行一些有趣的事情：https://softwareengineering.stackexchange.com/questions/226343/is-masking-really-necessary-when-sending-from-websocket-client

Answer 2

不要忘记添加压缩:无头-否则，浏览器需要Sec-WebSocket-扩展与每条消息-泄气。