Sec-WebSocket-Key

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

Der HTTP-Sec-WebSocket-Key-Request-Header wird im WebSocket-Eröffnungshandshake verwendet, damit ein Client (Benutzeragent) bestätigen kann, dass er "wirklich möchte", dass ein HTTP-Client zu einem WebSocket aufgerüstet wird.

Der Wert des Schlüssels wird mithilfe eines im WebSocket-Spezifikations angegebenen Algorithmus berechnet, bietet jedoch keine Sicherheit. Stattdessen hilft er dabei, zu verhindern, dass Nicht-WebSocket-Clients unbeabsichtigt oder durch Missbrauch eine WebSocket-Verbindung anfordern.

Dieser Header wird automatisch von Benutzeragenten hinzugefügt, wenn ein Skript einen WebSocket öffnet; er kann nicht mit den Methoden fetch() oder XMLHttpRequest.setRequestHeader() hinzugefügt werden.

Der Sec-WebSocket-Accept-Antwort-Header des Servers sollte einen Wert enthalten, der basierend auf dem angegebenen Schlüsselwert berechnet wurde. Der Benutzeragent kann dies dann validieren, bevor er die Verbindung bestätigt.

Header-Typ	Request-Header
Verbotener Request-Header	Ja (`Sec-`-Präfix)

Syntax

http

Sec-WebSocket-Key: <key>

Direktiven

<key>: Der Schlüssel für diese Anforderung zur Aufrüstung. Dies ist eine zufällig ausgewählte 16-Byte-Nonce, die base64-kodiert und isomorph kodiert wurde. Der Benutzeragent fügt dies hinzu, wenn die WebSocket-Verbindung gestartet wird.

Beispiele

WebSocket-Eröffnungshandshake

Der Client initiiert einen WebSocket-Handshake mit einer Anfrage wie der folgenden. Beachten Sie, dass dies als HTTP-GET-Anfrage (HTTP/1.1 oder später) beginnt. Zusätzlich zu Sec-WebSocket-Key enthält die Anfrage den Upgrade-Header, der die Absicht angibt, von HTTP zu einer WebSocket-Verbindung aufzurüsten.

http

GET /chat HTTP/1.1
Host: example.com:8000
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Sec-WebSocket-Version: 13

Die Antwort des Servers sollte den Sec-WebSocket-Accept-Header mit einem Wert enthalten, der aus dem Sec-WebSocket-Key-Header in der Anfrage berechnet wurde und die Absicht bestätigt, die Verbindung zu einer WebSocket-Verbindung aufzurüsten:

http

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=

Spezifikationen

Specification
The WebSocket Protocol # section-11.3.1

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch

Sec-WebSocket-Accept
Sec-WebSocket-Version
Sec-WebSocket-Protocol
Sec-WebSocket-Extensions
Der WebSocket-Handshake in Writing WebSocket servers
HTTP-Protokoll-Upgrade-Mechanismus