Проверка происхождения WebSocket¶
Когда браузер инициирует подключение к WebSocket, он автоматически включает в себя Origin заголовок, обозначающий домен, из которого исходит запрос. С помощью ПроAPI Защита вы можете убедиться, что значение Origin заголовка соответствует вашему предопределенному списку на этапе обновления подключения к WebSocket. В этой статье описываются шаги по включению Origin проверки для GraphQL queries.
По умолчанию функция проверки источника WebSocket отключена. Чтобы активировать ее, настройте следующие переменные среды:
| Переменная среды | Описание |
|---|---|
APIFW_GRAPHQL_WS_CHECK_ORIGIN | Включает проверку Origin заголовка на этапе обновления WebSocket. По умолчанию: false. |
APIFW_GRAPHQL_WS_ORIGIN (required if APIFW_GRAPHQL_WS_CHECK_ORIGIN is true) | Список разрешенных источников для подключений к WebSocket. Источники разделяются символом ;. |
APIFW_GRAPHQL_WS_CHECK_ORIGIN работает независимо от APIFW_GRAPHQL_REQUEST_VALIDATION. Запросы WebSocket с неправильными Origin заголовками будут блокироваться независимо от режима проверки запроса.