解决WebSocket连接CDN边缘节点时的403 Forbidden问题

问题背景

在使用Python的websockets库连接CDN边缘节点时，开发者可能会遇到403 Forbidden错误。这种情况通常发生在直接使用CDN边缘IP地址建立WebSocket连接时，而错误的核心原因在于HTTP头部和TLS SNI(Server Name Indication)的不匹配。

问题分析

当开发者尝试使用如下方式建立连接时：

wss://${cdn_edgeIP}:443/path

CDN服务器会进行双重验证：

1. TLS握手时的SNI扩展字段
2. HTTP请求头中的Host字段

websockets库的默认行为会将IP地址作为Host头部发送，而开发者可能已经通过server_hostname参数设置了正确的SNI。这种不一致性会导致CDN服务器拒绝连接，返回403 Forbidden错误。

解决方案

websockets库提供了host参数来精确控制连接行为：

async with connect(
    uri=f"wss://{server_host}:{server_port}/ws",
    ssl=ssl_context,
    server_hostname=sni_hostname,
    host=sni_hostname,  # 关键参数
    extra_headers=headers,
    subprotocols=["chat"]
) as websocket:
    # 通信代码

参数说明

1. server_hostname: 控制TLS SNI扩展
2. host: 控制HTTP Host头部和实际连接的目标主机

底层原理

websockets库在建立连接时，会处理多个层次的网络协议：

1. TCP层：使用loop.create_connection建立基础连接
2. TLS层：通过SSLContext配置加密参数，包括SNI
3. HTTP/WebSocket层：构造正确的HTTP升级请求

host参数的特殊之处在于它同时影响：

• 传递给loop.create_connection的目标地址
• WebSocket握手请求中的Host头部

最佳实践

1. 明确区分连接目标和逻辑主机名：

   • 使用IP地址或特定域名作为连接目标
   • 使用业务域名作为SNI和Host头部

2. 完整的连接示例：

import ssl
import asyncio
from websockets.client import connect

async def connect_to_cdn():
    # 连接参数
    cdn_ip = "104.16.177.217"
    cdn_port = 443
    actual_domain = "testwebsocket.example.com"
    
    # SSL配置
    ssl_ctx = ssl.create_default_context()
    
    # 建立连接
    async with connect(
        uri=f"wss://{cdn_ip}:{cdn_port}/ws",
        ssl=ssl_ctx,
        server_hostname=actual_domain,
        host=actual_domain,
        extra_headers={"User-Agent": "MyWebSocketClient/1.0"}
    ) as ws:
        await ws.send("Hello CDN!")
        response = await ws.recv()
        print("Received:", response)

asyncio.run(connect_to_cdn())

总结

正确处理CDN环境下的WebSocket连接需要注意网络协议各层的协调。通过合理使用websockets库提供的host和server_hostname参数，可以确保TLS和HTTP层面的主机标识一致，避免403 Forbidden错误。这种精细化的控制能力体现了websockets库设计的灵活性，能够适应各种复杂的网络环境。