WebSocket Hijacking - WebSocket 与 CORS

起因

前一段时间在工作中意外发现，CORS 并不适用于 Websocket 链接。 具体表现为，浏览器会忽略在websocket upgrade handshake过程中，所返回的 CORS 头。 比起类似的 CSRF 来说，感觉比较冷门，遂成文记录一下。

原因

CORS 下，对于 HTTP 请求的上下文校验，由浏览器一侧来执行，并决定是否终止请求。 但在 WebSocket 标准中，却选择了由服务端来全权处理这一部分逻辑，而浏览器则会自动带上用户所拥有的对应域下 Cookie。 这有些类似于 CSRF，但在 Websocket 世界中称之为 Cross-Site WebSocket Hijacking (CSWSH)

相关标准：https://tools.ietf.org/html/rfc6455#section-4.2.2

延伸阅读（CVE-2019-13611）

链接：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13611 链接：https://github.com/miguelgrinberg/python-engineio/issues/128

在 Python-EngineIO 框架中，服务端返回 CORS 相关的头，寄希望于浏览器来终止不正确的 websocket 链接，显然是不正确的 可能引发信息泄露，或服务器保持大量无效连接导致资源耗尽的问题。

这也是由这次意外发现，而报告的一个潜在的安全问题。