Я читаю спецификацию websocket, и он говорит:
Наконец, сервер должен доказать клиенту, что он получил клиента WebSocket, чтобы сервер не принимал соединения, которые не являются соединениями WebSocket. Это предотвращает злоумышленнику из-за обмана сервера WebSocket, созданных пакетов с использованием | XMLHttpRequest | или форму | представление.
Я читал его несколько раз, но мне все еще не ясно, почему это необходимо.