深入理解Go语言WebSocket：解决403 Origin校验错误

本文旨在解决Go语言WebSocket开发中常见的403 Forbidden错误，该错误通常由go.net/websocket包的默认Origin头部校验引起。文章将通过分析websocket.Handler与websocket.Server的区别，提供详细的代码示例和解释，指导开发者如何正确配置WebSocket服务以适应不同客户端，尤其是在非浏览器或跨域场景下。

Go语言WebSocket服务与Origin校验机制

在Go语言中构建WebSocket服务时，开发者可能会遇到一个常见的挑战：当尝试连接到一个简单的WebSocket Echo服务器时，客户端收到403 Forbidden错误。这通常不是因为认证失败，而是由于Go标准库go.net/websocket对HTTP Origin头部进行了默认的安全校验。

初始问题与403错误现象

考虑以下一个基本的Go WebSocket Echo服务器实现：

package main

import (
    "fmt"
    "golang.org/x/net/websocket" // 更新为最新路径
    "net/http"
)

// webHandler 处理WebSocket连接
func webHandler(ws *websocket.Conn) {
    var s string
    // 从WebSocket连接读取数据
    fmt.Fscan(ws, &s)
    fmt.Println("Received: ", s)
    // 可以选择将数据回写给客户端
    // fmt.Fprint(ws, "Echo: "+s)
}

func main() {
    fmt.Println("Starting websock server: ")
    // 使用websocket.Handler注册处理函数
    http.Handle("/echo", websocket.Handler(webHandler))

    err := http.ListenAndServe(":8080", nil)
    if err != nil {
        panic("ListenAndServe: " + err.Error())
    }
}

配套的JavaScript客户端代码如下：

立即学习“go语言免费学习笔记（深入）”；

ws = new WebSocket("ws://localhost:8080/echo");
ws.onmessage = function(e) {
    console.log("websock: " + e.data);
};
// 客户端发送消息示例
// ws.onopen = function() {
//     ws.send("Hello Go WebSocket!");
// };

当运行上述服务器并尝试从浏览器或其他客户端连接时，可能会在客户端控制台看到类似WebSocket connection to 'ws://localhost:8080/echo' failed: Unexpected response code: 403的错误。

Origin头部与Go的默认校验

这个403错误的核心原因在于golang.org/x/net/websocket包中websocket.Handler的默认行为。根据官方文档，websocket.Handler在处理WebSocket握手请求时，会默认检查HTTP请求的Origin头部是否是一个有效的URL。对于来自浏览器的WebSocket连接，Origin头部指示了发起连接的网页源，这是一种重要的安全机制，用于防止跨站请求伪造（CSRF）攻击。

然而，在某些场景下，例如：

• 非浏览器客户端连接： 如自定义的桌面应用、移动应用或服务器到服务器的WebSocket通信，这些客户端可能不发送Origin头部，或者发送的Origin头部不符合websocket.Handler的默认校验规则。
• 跨域开发测试： 在开发阶段，客户端可能运行在与WebSocket服务不同域名的端口上，导致Origin不匹配。

在这些情况下，websocket.Handler的默认Origin校验会导致连接被拒绝，从而返回403错误。

LangChain

一个开源框架，用于构建基于大型语言模型（LLM）的应用程序。

下载

解决方案：使用websocket.Server自定义Origin校验

为了解决这个问题，我们需要更灵活地控制Origin校验逻辑。golang.org/x/net/websocket包提供了websocket.Server结构体，它允许开发者自定义握手过程，包括Origin头部校验。

websocket.Server的Handler字段用于指定实际处理WebSocket通信的函数，而其Handshake方法则可以被重写以实现自定义的握手逻辑。如果我们将websocket.Server的Handshake方法设置为nil或一个不执行Origin校验的函数，就可以绕过默认的Origin检查。

最简单的禁用Origin校验的方法是直接使用websocket.Server并将Handler字段设置为我们的WebSocket处理函数，然后通过ServeHTTP方法来处理HTTP请求，而不是直接将websocket.Handler传递给http.Handle。

以下是修正后的Go WebSocket服务器代码：

package main

import (
    "fmt"
    "golang.org/x/net/websocket" // 确保使用最新路径
    "net/http"
)

// webHandler 处理WebSocket连接
func webHandler(ws *websocket.Conn) {
    var s string
    // 从WebSocket连接读取数据
    fmt.Fscan(ws, &s)
    fmt.Println("Received: ", s)
    // 可以选择将数据回写给客户端
    fmt.Fprint(ws, "Echo: "+s)
}

func main() {
    fmt.Println("Starting websock server: ")

    // 使用http.HandleFunc注册一个普通的HTTP处理函数
    http.HandleFunc("/echo",
        func(w http.ResponseWriter, req *http.Request) {
            // 创建websocket.Server实例
            // 将webHandler设置为其Handler
            // 默认情况下，websocket.Server不会强制进行Origin校验
            s := websocket.Server{Handler: websocket.Handler(webHandler)}
            // 调用ServeHTTP方法来处理WebSocket握手和后续通信
            s.ServeHTTP(w, req)
        })

    err := http.ListenAndServe(":8080", nil)
    if err != nil {
        panic("ListenAndServe: " + err.Error())
    }
}

在这个修正后的代码中：

1. 我们不再直接将websocket.Handler(webHandler)传递给http.Handle。
2. 取而代之的是，我们使用http.HandleFunc注册了一个匿名的HTTP处理函数。
3. 在这个匿名函数内部，我们创建了一个websocket.Server实例，并将其Handler字段设置为websocket.Handler(webHandler)。
4. 最后，我们调用s.ServeHTTP(w, req)。websocket.Server的ServeHTTP方法会负责处理WebSocket握手，并且默认情况下，它不会像websocket.Handler那样强制执行Origin校验，除非你在websocket.Server的Handshake字段中提供了自定义的校验逻辑。

通过这种方式，非浏览器客户端或跨域的浏览器客户端现在可以成功连接到WebSocket服务，而不会再收到403错误。

注意事项与安全性考量

虽然禁用Origin校验可以解决连接问题，但在生产环境中，尤其是在面向浏览器的应用中，完全禁用Origin校验可能带来安全风险。

• 浏览器客户端： 如果你的WebSocket服务主要面向浏览器客户端，并且需要防止CSRF攻击，你应该考虑保留或自定义Origin校验。websocket.Server允许你通过其Handshake字段提供一个自定义函数来执行更细粒度的Origin验证，例如只允许特定域名的请求。
• 非浏览器客户端： 对于服务器到服务器的通信或由你完全控制的非浏览器客户端，禁用Origin校验是常见的做法，因为这些客户端通常有其他身份验证和授权机制。
• 自定义校验： 如果需要自定义Origin校验，你可以为websocket.Server的Handshake字段提供一个函数。这个函数会接收websocket.Config和http.Request作为参数，并返回一个布尔值指示是否接受连接。

// 示例：自定义Origin校验，只允许特定域名
func customHandshake(config *websocket.Config, req *http.Request) (err error) {
    if config.Origin.Host == "example.com" { // 检查Origin是否来自允许的域名
        return nil // 允许连接
    }
    return fmt.Errorf("Origin not allowed: %s", config.Origin.String()) // 拒绝连接
}

// 在main函数中
// s := websocket.Server{
//     Handler: websocket.Handler(webHandler),
//     Handshake: customHandshake, // 使用自定义握手函数
// }

总结

Go语言的go.net/websocket包在处理WebSocket连接时，websocket.Handler默认会执行严格的Origin头部校验，这在某些场景下会导致403 Forbidden错误。解决此问题的关键在于理解websocket.Handler和websocket.Server的区别，并通过使用websocket.Server来更灵活地控制WebSocket握手过程。对于非浏览器客户端或需要放宽Origin限制的场景，可以通过websocket.Server的默认行为来绕过Origin校验。然而，在生产环境中，特别是在处理浏览器客户端时，应谨慎考虑安全性，并根据实际需求实现自定义的Origin校验逻辑。