WebSocket 协议是实现了浏览器与服务器全双工通信的 HTML5 新协议之一。传统浏览器只允许通过 HTTP 与网站互动,然而对于富 Web 应用 如聊天和游戏,HTTP 的效率不太高,因此HTML5 提供了socket API,只需一个握手动作就能在浏览器和服务器之间建立快速通道。
然而在 11 月 26 日,安全研究人员发表了一篇研究报告(PDF),他们发现 WebSocket 和透明代理存在严重安全问题,他们演示了基于 Upgrade 和 CONNECT 的缓存中毒攻击,研究人员提议修改握手方式。在 Bugzilla 上,Firefox 开发者讨论了该问题,他们最后决定Firefox 4 将默认不启用 WebSockets,从 Firefox 4 beta 8 开始用户将需要修改设置才能启用 WebSockets。未来在解决安全问题后,Firefox 会选择默认启用。
转自:http://www.oschina.net/news/13668/disabling-websockets-for-firefox-4