Websockets客户端API中的HTTP标头

WebSocket客户端API中的HTTP标头

基础概念

WebSocket是一种在单个TCP连接上进行全双工通信的协议，允许客户端和服务器之间建立持久连接。在WebSocket握手阶段，客户端会发送一个HTTP请求，其中包含特定的HTTP标头（Headers），用于协商协议升级（从HTTP到WebSocket）。这些标头在建立WebSocket连接时至关重要。

关键HTTP标头

1. Upgrade
   • 值：websocket
   • 作用：表明客户端希望将连接升级到WebSocket协议。

• Connection
  • 值：Upgrade
  • 作用：指示这是一个协议升级请求。
• Sec-WebSocket-Key
  • 值：随机生成的Base64编码字符串（16字节随机值）。
  • 作用：用于握手验证，确保服务器支持WebSocket协议。
• Sec-WebSocket-Version
  • 值：13（当前主流版本）。
  • 作用：指定客户端使用的WebSocket协议版本。
• Sec-WebSocket-Protocol（可选）
  • 值：客户端支持的子协议（如chat、soap等）。
  • 作用：协商应用层子协议。
• Origin（浏览器环境下必选）
  • 值：客户端页面的源（如https://example.com）。
  • 作用：用于安全验证，防止跨站点WebSocket劫持。

优势

• 低延迟：通过标头快速完成握手，建立持久连接。
• 灵活性：支持自定义子协议（如Sec-WebSocket-Protocol）。
• 安全性：Sec-WebSocket-Key和Origin标头防止非法连接。

应用场景

• 实时聊天应用
• 在线游戏
• 股票行情推送
• 协同编辑工具

常见问题与解决

1. 握手失败（返回HTTP 400）
   • 原因：标头缺失或格式错误（如Upgrade或Connection未正确设置）。
   • 解决：检查标头是否完整，确保Sec-WebSocket-Key是有效的Base64字符串。

• 跨域连接被拒绝
  • 原因：服务器未正确配置Origin验证或CORS。
  • 解决：服务器需验证Origin标头，或返回Access-Control-Allow-Origin。
• 子协议未生效
  • 原因：客户端发送的Sec-WebSocket-Protocol与服务器不匹配。
  • 解决：确保双方协商一致的子协议名称。

示例代码（JavaScript客户端）

const socket = new WebSocket('wss://example.com/ws', ['chat', 'json']); // 指定子协议
socket.onopen = () => {
    console.log('连接已建立');
};
socket.onerror = (error) => {
    console.error('握手失败:', error);
};

服务器响应标头

成功握手时，服务器需返回以下标头：

• HTTP 101 Switching Protocols
• Upgrade: websocket
• Connection: Upgrade
• Sec-WebSocket-Accept（由客户端的Sec-WebSocket-Key计算生成）

注意事项

• 非浏览器环境（如Node.js）需手动设置标头（如Origin）。
• 加密连接（wss://）需配置TLS证书。

通过正确理解和使用这些标头，可以确保WebSocket连接的稳定性和安全性。