微信扫一扫103
社区成员
Report URI现已启用基于一次性随机数的内容安全强制策略
好消息!大家期待已久的一个项目终于落地了:Report URI正式启用基于一次性随机数(nonce)的内容安全(Content Security Policy,CSP)策略。
内容安全策略
大家应该都很熟悉内容安全策略了。CSP提供了一站式解决方案,用以抵御包括跨站点脚本(Cross-Site Scripting,XSS)在内的各类应用程序攻击。虽然近年来使用CSP,特别是CSP随机数,可能身陷侵权风险,但CSP无疑是一项伟大的技术。你可以用2015年推出的Report URI工具生成风险报告,甚至通过Script Watch和Data Watch来防范Magecart等现代网络攻击。本文主要聚焦CSP的全新特性。
CSP主机白名单
CSP的常见操作之一就是维护资源加载源头主机的白名单。例如,使用script-src指令:
script-src 'self' 'report-sample' disqus.com c.disquscdn.com platform.instagram.com cdnjs.cloudflare.com scotthelme.disqus.com a.disquscdn.com go.disqus.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com gist.github.com/ScottHelme/ static.cloudflareinsights.com js.stripe.com https://unpkg.com/@tryghost/;
在这个例子中,脚本来源不多,相对简单。但随着应用程序日益复杂,白名单管理将涉及添加新条目和删除旧条目,操作更为繁琐。鉴于存在诸多自托管资产,Report URI使用的白名单较为简单,如下所示:
script-src cdn.report-uri.com api.stripe.com js.stripe.com static.cloudflareinsights.com;
看似简单,CSP却行之有效。正因CSP禁止执行内联脚本,去年的年度渗透测试中,测试人员才无法利用XSS漏洞进行网络攻击,CSP从而有力地保护了系统。
CSP一次性随机数
如要使用内联JavaScript脚本,CSP可能略有不便。这时可以通过CSP一次性随机数进行JavaScript脚本加载。这种方式要求使用Cloudflare Worker来注入安全标头(Security Headers)。我之前的一篇博客曾详细介绍了如何通过Cloudflare Worker使用CSP随机数。当时我用的是报告模式(Content-Security-Report-Only)标头来设置和测试随机数,这种方式可以保障安全,即使有所纰漏,也不会造成问题。
尽管去年多次延期,经过大量测试之后终于达成目标,成功部署了基于CSP一次性随机数的强制策略。
欢迎访问Report URI网站或查看我们提供的安全标头扫描结果来验证这一策略。您也可以直接在开发工具或任意浏览器的源代码窗口中查看策略是否生效。
随机数与主机并重
我们同时使用了主机白名单和CSP随机数。尽管主机白名单简单,易于维护,基于一些考量我们仍选择同时使用CSP随机数。CSP规范如下:
无论内联脚本或外部脚本,具备正确随机数的脚本元素即可执行。如不具备正确随机数,URL在白名单之中的脚本元素才可执行。因此,即便能够将标记注入受保护的资源,如攻击者无法猜中随机值,攻击仍会失败。
这一机制足以抵御以下四种潜在风险场景:
- 攻击者注入不带随机数的内联脚本标签:因CSP禁止执行内联脚本,不会执行带此标签的脚本。
- 攻击者注入带有随机数的内联脚本标签:因攻击者无法猜中随机值,不会执行脚本。
- 攻击者注入不带随机数的外部脚本标签:因脚本来源不在白名单中,不会执行脚本。
- 攻击者注入带有随机数的外部脚本标签:因攻击者无法猜中随机值,不会执行脚本。
综上,主机白名单与CSP随机数并重的机制为系统提供了强有力的保护。下一步,我们要将script-src中的随机数分离到一个单独的CSP标头中,如下所示:
Content-Security-Policy: script-src cdn.report-uri.com api.stripe.com js.stripe.com static.cloudflareinsights.com;
Content-Security-Policy: script-src 'nonce-abc123'
目前,攻击者仅需要猜到CSP随机数值或使用白名单主机即可进行攻击。但当主机白名单和随机数位于不同标头中时,想要加载资源则需同时满足两种策略要求:来源是白名单主机且随机数正确。
强制策略层层加码意味着进一步限定了受保护的资源。
稿件来源:https://scotthelme.co.uk/report-uri-is-now-using-csp-nonces-in-an-enforced-policy/
...全文
请发表友善的回复…
发表回复
Report URI现已启用基于一次性随机数的内容安全强制策略 大家期待已久的一个项目终于落地了:ReportURI正式启用基于一次性随机数(nonce)的内容安全(ContentSecurityPolicy,CSP)策略。 内容安全策略 大家应该都很熟悉内容安全策略了。CSP提供了一站式解决方案,用以...
软件开发必备英语汇总(持续更新) 在学校的时候就想好好汇总网上,软件开发程序猿英语学习的帖子了,IT行业英语还真是比较重要,还好没落下,自己平时也在学堂在线学习。...abstraction 抽象、抽象物、抽象性 access 存取、访问 ...
更快更安全,HTTPS 优化总结 (转) 这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。 因为平时用 Nginx 比较多,本文涉及到 Web Server 的大多数例子都会以 Nginx 为...
LAMP编译(一) 编译httpd2.4的版本,需要的安装包如下,需要准备1.4+版本的apr和apr-util包,并安装开开发环境(yum-ygroupinstall"DesktopPlatformDevelopment"),还需要确保本机有...首先先基于module的方式进行编译[root@Lab6-...
springboot入门使用一 一、Spring Boot 入门1、Spring Boot 简介简化Spring应用开发的一个框架;整个Spring技术栈的一个大整合;J2EE开发的一站式解决方案;2、微服务2014,martin fowler微服务:架构风格(服务微化)一个应用应该是一组...
Spring Security 参考手册(一) 在安全领域,我们鼓励你采取"layers of security"(安全层),这样每一层尽可能的在自己范围内诶保证安全,连续的层提供额外的安全性。安全层更密集你的程序将更加健壮更加安全。在最底层,你需要处理传输安全和系统...
更快更安全,HTTPS 优化总结 这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。 因为平时用 Nginx 比较多,本文涉及到 Web Server 的大多数例子都会以 Nginx 为例。如果有...
计算机算法常用术语中英对照(分为两部分 其中一部分表格形式 ) 第一部分 Data Structures 基本数据结构 Dictionaries 字典 Priority Queues 堆 Graph Data Structures 图 Set Data Structures 集合 Kd-Trees 线段树 Numerical Problems 数值问题 Solving Linear ...
一个小兔子的大数据见解2 SSH为Secure Shell的缩写,是一种网络安全协议,专为远程登录会话和其他网络服务提供安全性的协议。生产中,我们经常使用ssh来登录、免密码登录远程linux机器。 1.4.1、免密码登录的流程 在linux主机node1上,...
Python标准库(非常经典的各种模块介绍) 本书使用DocBook SGML编写, 我使用了一系列的工具, 包括Secret Labs' PythonWorks, Excosoft Documentor, James Clark's Jade DSSSL processor, Norm Walsh's DocBook stylesheets, 当然,还有一些 Python 脚本. ...
企业级应用:负载均衡层——haproxy(一) HAProxy是法国开发者 威利塔罗(Willy Tarreau) 在2000年使用C语言开发的一个开源软件,是一款具备高并发(一万以上)、高性能的TCP和HTTP负载均衡器,支持基于cookie的持久性,自动故障切换,支持正则表达式及web...
【转】很实用的编程英语词库,共收录一千五百余条词汇 automation-enabled 启用自动化 background color 背景色 backslash 反斜杠 bad 坏的 base address 基址 base class 基类 base implementation 基实现 base keyword 基关键字 base method 基方法 ...
构建 Hadoop 集群 需要做两次,一次作为 hdfs 用户,一次作为 yarn 用户。 % ssh-keygen -t rsa -f ~/.ssh/id_rsa 纵然想要无密码登录,没有密码的密钥不认为是个好的实践,因此当提示时,应输入一个密码。使用 ssh-agent 来...
SpringBoot 就这一篇全搞定 一、Hello Spring Boot 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 微服务:架构风格(服务微化) 一个应用应该是一组小型...
从头撸到脚,SpringBoot 就一篇全搞定! 一、Hello Spring Boot 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 微服务:架构风格(服务微化) 一个应用应该是一组小型...
springboot笔记(一) **一、**Spring Boot 入门 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 2014,martin fowler 微服务:架构风格(服务微化) 一个...
Spring Boot入门,看这一篇就够了 **一、**Spring Boot 入门 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 2014,martin fowler 微服务:架构风格(服务微化) 一个...