Nodejs 怎样保证socket.io 不被他人使用啊?
Nodejs 怎样保证socket.io 不被他人使用啊?
小弟初学nodejs,在测试socket.io时发现在服务器启动了socket.io,只要在其他服务器上页面加入socket.io连接同样可以读取和发送socket。举个列子:比如我服务器上有个socket.io,连接地址是: http://xxxxxx/socket.io/socket.io.js, 但是其他用户在页面源码就看的到这个地址的,就相当于这个地址是暴露的。在任何其他网站页面调用这个代码
<script type="text/javascript" src='http://xxxxxx/socket.io/socket.io.js'></script>
同样可以在他页面接收我服务器的socket和发送socket,怎么来限制我服务器上的socket.io只能接收我的域名发起的和推送
要确保你的 socket.io 只能被特定的域名访问,可以通过设置 CORS(跨域资源共享)策略来实现。CORS 是一种安全机制,用于限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。你可以通过配置 socket.io 的中间件来实现这一点。
以下是一个示例代码,展示了如何在 Node.js 中配置 socket.io,使其只接受来自特定域名的连接:
const express = require('express');
const http = require('http');
const socketIo = require('socket.io');
// 创建 Express 应用和 HTTP 服务器
const app = express();
const server = http.createServer(app);
// 创建 socket.io 实例,并将其绑定到 HTTP 服务器
const io = socketIo(server, {
cors: {
origin: "http://your-domain.com", // 允许的来源域名
methods: ["GET", "POST"], // 允许的方法
allowedHeaders: ["my-custom-header"], // 允许的头部
credentials: true // 是否允许发送 cookie
}
});
// 监听连接事件
io.on('connection', (socket) => {
console.log('A user connected:', socket.id);
// 处理消息
socket.on('message', (msg) => {
console.log('Message received:', msg);
// 发送消息给所有客户端
io.emit('message', msg);
});
// 监听断开连接事件
socket.on('disconnect', () => {
console.log('User disconnected:', socket.id);
});
});
// 启动服务器
server.listen(3000, () => {
console.log('Server is running on port 3000');
});
解释
-
引入必要的模块:
express: 用于创建 HTTP 服务器。http: Node.js 内置模块,用于创建 HTTP 服务器。socket.io: 用于处理 WebSocket 连接。
-
创建 HTTP 服务器:
- 使用
express创建应用实例。 - 使用
http.createServer方法创建 HTTP 服务器,并将express应用实例传入。
- 使用
-
初始化
socket.io:- 使用
socketIo初始化socket.io实例,并将其绑定到 HTTP 服务器。 - 配置
cors属性,限制只有特定域名(例如http://your-domain.com)可以连接到你的服务器。
- 使用
-
处理连接和消息:
- 监听
connection事件,当有新的客户端连接时打印日志。 - 监听
message事件,处理客户端发送的消息。 - 监听
disconnect事件,处理客户端断开连接的情况。
- 监听
-
启动服务器:
- 使用
server.listen方法启动服务器,并监听指定端口(例如 3000)。
- 使用
通过这种方式,你可以有效地限制 socket.io 只接受来自特定域名的连接,从而提高安全性。
如果是这样,可能条件限制可能就要入库了,然后再去查询数据库,如果每条信息在推送前都去查询一下数据库的话可能实时性就不好了。我就不明白了为什么这个连外部调用这个socket.io都能同样接收和发送服务器的socket
socket.io的具体数据包格式是什么样的 比如我在 服务端启动一个一个socket.io的服务器,客户端用普通socket发送信息(包括http格式) 但是服务端在 io.sockets.on(‘connection’, 中根本没响应日志
如果知道具体的包格式,可以在服务端on connect的时候跟客户端做一个握手协议,这个数据格式是可以自己定义,只要客户端和服务端保持一致就行了
为了确保你的 socket.io 只允许来自特定域名的连接,你可以通过设置 CORS(跨域资源共享)策略来实现。具体来说,你可以配置 socket.io 的服务器端,使其只接受来自指定域名的请求。
以下是一个简单的示例代码:
const express = require('express');
const http = require('http');
const socketIo = require('socket.io');
const app = express();
const server = http.createServer(app);
const io = socketIo(server);
// 设置允许访问的域名
const allowedOrigins = ['http://yourdomain.com', 'https://anotherdomain.com'];
// 配置CORS
io.origins((origin, callback) => {
if (allowedOrigins.includes(origin)) {
callback(null, true);
} else {
callback(new Error('Origin not allowed'), false);
}
});
io.on('connection', (socket) => {
console.log('A user connected:', socket.handshake.headers.origin);
socket.on('disconnect', () => {
console.log('User disconnected');
});
});
server.listen(3000, () => {
console.log('Server is running on port 3000');
});
解释
- CORS 配置:通过
io.origins()方法配置允许的来源域名列表。 - 检查来源:当客户端尝试连接时,
io.origins()会检查请求的Origin头是否在允许的列表中。 - 处理连接:如果来源合法,
socket.io会正常处理连接;否则,它将拒绝连接。
通过这种方式,你可以确保只有来自指定域名的客户端才能与你的 socket.io 服务器进行通信。这不仅增加了安全性,还防止了未授权的第三方访问你的 WebSocket 服务。
