Sec-WebSocket-Key là một phần của tiêu đề HTTP được sử dụng trong quá trình bắt tay (handshake) để thiết lập một kết nối WebSocket giữa máy khách và máy chủ. Đây là một thành phần quan trọng trong việc đảm bảo rằng kết nối WebSocket được thiết lập một cách an toàn và không bị giả mạo.
Mục đích của Sec-WebSocket-Key
Sec-WebSocket-Key có mục đích chính là cung cấp một cơ chế xác thực để máy chủ có thể xác nhận rằng các yêu cầu WebSocket đến là hợp lệ. Điều này giúp ngăn chặn các cuộc tấn công như Cross-Protocol Attacks, nơi một kẻ tấn công có thể cố gắng gửi dữ liệu giả mạo thông qua một giao thức khác như HTTP.
Cách Thức Hoạt Động
Gửi Key: Trong quá trình bắt tay để thiết lập kết nối WebSocket, máy khách tạo ra một chuỗi ngẫu nhiên được mã hóa dưới dạng base64 và gửi nó đến máy chủ trong tiêu đề Sec-WebSocket-Key.
Xử lý Key: Máy chủ nhận được key, sau đó nối chuỗi này với một chuỗi GUID cố định (được gọi là "magic string") đã...
