传统的B/S模式(Browser/Server模式)通信是基于HTTP协议的,而HTTP通信是典型的“请求-响应”模型,因此HTTP协议想要实现浏览器与服务器之间的实时通信显然困难较大。为了有效地解决该问题,WebSocket协议诞生了。WebSocket协议是HTML5标准规范中的一部分,是一种新的网络通信协议,能为客户端与服务器之间提供一种全双工通信机制。WebSocket能提高网络吞吐量,降低时延,减轻服务器负担,非常适用于B/S模式的实时通信。虽然WebSocket为Web实时通信带来了福音,但同时也不可避免地带来了相应的安全隐患,其中跨站点WebSocket劫持漏洞危害相对较大且易被忽视。本文围绕WebSocket实时通信展开,主要工作内容如下:1.研究Web实时通信相关技术:AJAX短轮询、Comet技术(AJAX长轮询、Iframe流方式)、浏览器插件技术、WebSocket协议,然后分析对比了各种技术方案的优缺点,重点突出了WebSocket协议在Web实时通信领域中的优势。2.研究WebSocket协议及其安全特性,然后重点研究了跨站点WebSocket劫持这一漏洞,并针对现有随机令牌防御方案的不足,结合RSA算法与AES算法提出了一种基于混合加密的一次性随机令牌方案。之后通过实验对该方案进行测试,验证了该方案的有效性。3.提出用WebSocket子协议来御防相关安全漏洞的策略,同时设计了一个自定义子协议wsafe。该子协议融入了基于混合加密的一次性随机令牌方案,可以御防跨站点WebSocket劫持、中间人窃听和常见XSS攻击。之后在一个WebSocket聊天室中模拟wsafe子协议的实现,然后对子协议进行相关性能测试。实验结果表明该子协议提高了WebSocket聊天室的通信安全,且没有显著影响通信性能,从而验证了子协议防御策略的可行性。