Eu estou construindo um aplicativo que está usando websockets. Eu só vou permitir que usuários autenticados abram uma conexão de websocket com o servidor depois que eles tiverem efetuado login e tenham recebido um ID de sessão.

Uma vez que eu abri uma conexão websocket com um usuário autenticado, a "página" atual mantém os detalhes da conexão websocket aberta. Neste ponto, esta conexão é relativamente segura? Ou eu realmente deveria estar verificando algum token em cada mensagem dentro do meu próprio protocolo de nível de aplicativo que vem através do websocket?

Há algum problema conhecido de segurança do tipo falsificação entre sites? Onde alguém poderia coop um websocket aberto fazendo com que o usuário autenticado executasse algum javascript de alguma maneira - resultando na capacidade de explorar a conexão websocket aberta?