WebSocket: differenze tra le versioni

A differenza delle normali richieste HTTP tra domini, le richieste WebSocket non sono limitate dalla politica della stessa origine. Pertanto i server WebSocket devono convalidare l'intestazione "Origin" rispetto alle origini previste durante la creazione della connessione, per evitare attacchi di dirottamento WebSocket tra siti (simili alla contraffazione di richieste tra siti ), che potrebbero essere possibili quando la connessione è autenticata con cookie o autenticazione [[Hypertext Transfer Protocol|HTTP]]. È preferibile utilizzare token o meccanismi di protezione simili per autenticare la connessione WebSocket quando vengono trasferiti dati sensibili (privati) su WebSocket<ref>{{Cita web|url=https://www.christian-schneider.net/CrossSiteWebSocketHijacking.html#main|titolo=Cross-Site WebSocket Hijacking (CSWSH)|autore=Christian Schneider|opera=Web Application Security Blog|data=31 agosto 2013}}</ref>.   Un esempio dal vivo di vulnerabilità è stato visto nel 2020 sotto forma di Cable Haunt.