Я создаю приложение, которое использует веб-сокеты. Я только позволю аутентифицированным пользователям открывать соединение через веб-сокет с сервером только после того, как они вошли в систему и получили идентификатор сеанса.

После того, как я открыл соединение через веб-сокет с аутентифицированным пользователем, текущийстраница» затем содержит информацию об открытом соединении через websocket. На данный момент это соединение относительно безопасно? Или я действительно должен проверять какой-нибудь токен для каждого сообщения в моем собственном протоколе уровня приложения, который приходит через веб-сокет?

Есть ли какие-либо известные проблемы безопасности типа подделки между сайтами? Где кто-то может объединить открытую веб-розетку, заставив аутентифицированного пользователя каким-то образом выполнить некоторый javascript, что приведет к возможности использования открытого подключения веб-сокета?