有安全研究人员发现WebSocket和透明代理存在严重安全问题,他们演示了基于Upgrade和CONNECT的缓存中毒攻击,研究人员提议修改握手方式。在Bugzilla上,Firefox开发者讨论了该问题,他们最后决定Firefox 4将默认不启用WebSockets,从Firefox 4 beta 8开始用户将需要修改设置才能启用WebSockets。未来在解决安全问题后,Firefox会选择默认启用。
WebSocket协议是实现了浏览器与服务器全双工通信的HTML5新协议之一。传统浏览器只允许通过HTTP与网站互动,然而对于富Web应用如聊天和游戏,HTTP的效率不太高,因此HTML5提供了socket API,只需一个握手动作就能在浏览器和服务器之间建立快速通道。