Geçerli Websocket RFC , websocket istemcilerinin gönderirken çerçevelerdeki tüm verileri maskelemesini gerektirir (ancak sunucunun bunu yapması gerekmez). Protokolün bu şekilde tasarlanmasının nedeni , çerçeve verilerinin istemci ve sunucu (proxy'ler vb.) Arasındaki kötü amaçlı hizmetler tarafından değiştirilmesini önlemektir. Ancak, maskeleme anahtarı bu tür hizmetler tarafından hala bilinir (her çerçevenin başında kare başına gönderilir)
Bu tür hizmetlerin yine de çerçeveyi bir sonraki noktaya geçmeden önce içeriği kaldırmak, değiştirmek ve yeniden maskelemek için anahtarı kullanabileceğini varsaymak yanlış mıyım? Eğer yanılmıyorsam, bu varsayılan güvenlik açığını nasıl düzeltir?