वर्तमान Websocket RFC के लिए यह आवश्यक है कि भेजने के दौरान websocket क्लाइंट फ़्रेम के भीतर सभी डेटा को मास्क करें (लेकिन सर्वर की आवश्यकता नहीं है)। कारण प्रोटोकॉल को इस तरह से डिज़ाइन किया गया था कि फ्रेम डेटा को क्लाइंट और सर्वर (प्रॉक्सी, आदि) के बीच दुर्भावनापूर्ण सेवाओं द्वारा परिवर्तित होने से रोका जाए। हालाँकि, मास्किंग कुंजी अभी भी ऐसी सेवाओं के लिए जानी जाती है (इसे प्रत्येक फ्रेम की शुरुआत में प्रति फ्रेम के आधार पर भेजा जाता है)
क्या मुझे यह मान लेना गलत है कि इस तरह की सेवाएं अभी भी अगले बिंदु पर फ्रेम पास करने से पहले सामग्री को अनमास्क, बदलने और फिर से मास्क करने की कुंजी का उपयोग कर सकती हैं? अगर मैं गलत नहीं हूं, तो यह संभावित भेद्यता को कैसे ठीक करता है?