В настоящее время я рассматриваю уязвимости CSRF в веб-сокетах.
Я уже заблокировал все междоменные запросы веб-сокетов, однако существуют скрипты (например, этот плохой мальчик на питоне ), чтобы обойти такие меры безопасности.
Стоит ли включать токен в index.html пользователя, который должен быть включен в вызов socket.io.connect() в виде строки запроса? Таким образом на сервере мы можем проверить, что токен соответствует нашим ожиданиям, и в противном случае заблокировать запрос на подключение.
Спасибо за все советы!