Web 安全之Alibaba Content Security Service策略（Content-Security-Policy,CSP）詳解

標籤：pos   執行   ade   reac   詳解   接受   動態   使用   將不   

1.CSP 簡介

Alibaba Content Security Service策略（Content Security Policy，簡稱CSP）是一種以可信白名單作機制，來限制網站是否可以包含某些來源內容，緩解廣泛的內容注入漏洞，比如 XSS。 簡單來說，就是我們能夠規定，我們的網站只接受我們指定的請求資源。預設配置下不允許執行內聯代碼（<script>塊內容，內聯事件，內聯樣式），以及禁止執行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

2.CSP 使用方式

CSP可以由兩種方式指定： HTTP Header 和 HTML。

• 通過定義在HTTP header 中使用：

  "Content-Security-Policy:" 策略集

• 通過定義在 HTML meta標籤中使用：

  <meta http-equiv="content-security-policy" content="策略集">

策略是指定義 CSP 的文法內容。

如果 HTTP 頭 與 meta 標籤同時定義了 CSP，則會優先採用 HTTP 頭的 。

定義後，凡是不符合 CSP策略的外部資源都會被阻止載入。

3.CSP 文法3.1 策略

每一條策略都是指令與指令值組成：

Content-Security-Policy:指令1 指令值1

策略與策略之間用分號隔開,例如：

Content-Security-Policy:指令1 指令值1；指令2 指令值2；指令3 指令值3

在一條策略中，如果一個指令中有多個指令值，則指令值之間用空號隔開：

Content-Security-Policy:指令a 指令值a1 指令值a2

3.2 CSP 指令

• default-src : 定義針對所有類型（js/image/css/font/ajax/iframe/多媒體等）資源的預設載入策略，如果某類型資源沒有單獨定義策略，就使用預設的。
• script-src : 定義針對 JavaScript 的載入策略。
• style-src : 定義針對樣式的載入策略。
• img-src : 定義針對圖片的載入策略。
• font-src : 定義針對字型的載入策略。
• media-src : 定義針對多媒體的載入策略，例如:音頻標籤<audio>和視頻標籤<video>。
• object-src : 定義針對外掛程式的載入策略，例如：<object>、<embed>、<applet>。
• child-src :定義針對架構的載入策略，例如： <frame>,<iframe>。
• connect-src : 定義針對 Ajax/WebSocket 等請求的載入策略。不允許的情況下，瀏覽器會類比一個狀態為400的響應。
• sandbox : 定義針對 sandbox 的限制，相當於 <iframe>的sandbox屬性。
• report-uri : 告訴瀏覽器如果請求的資源不被策略允許時，往哪個地址提交日誌資訊。
• form-action : 定義針對提交的 form 到特定來源的載入策略。
• referrer : 定義針對 referrer 的載入策略。
• reflected-xss : 定義針對 XSS 過濾器使用原則。

3.3 CSP 指令值

指令值	說明
*	允許載入任何內容
‘none‘	不允許載入任何內容
‘self‘	允許載入相同源的內容
www.a.com	允許載入指定網域名稱的資源
*.a.com	允許載入 a.com 任何子網域名稱的資源
https://a.com	允許載入 a.com 的 https 資源
https：	允許載入 https 資源
data：	允許載入 data: 協議，例如：base64編碼的圖片
‘unsafe-inline‘	允許載入 inline 資源，例如style屬性、onclick、inline js、inline css等
‘unsafe-eval‘	允許載入動態 js 代碼，例如 eval()

4.CSP 例子

• 例子1

  所有內容均來自網站的自己的域：

  Content-Security-Policy:default-src ‘self‘

• 例子2

  所有內容都來自網站自己的域，還有其他子域（假如網站的地址是：a.com）：

  Content-Security-Policy:default-src ‘self‘ *.a.com

• 例子3

  網站接受任意域的映像，指定域（a.com）的音頻、視頻和多個指定域（a.com、b.com）的指令碼

  Content-Security-Policy:default-src ‘self‘;img-src *;media-src a.com;script-src a.com b.com

• 線上 CSP編寫的網址：http://cspisawesome.com/

5.CSP 預設特性

• 阻止內聯代碼執行

  CSP除了使用白名單機制外，預設配置下阻止內聯代碼執行是防止內容注入的最大安全保障。
  這裡的內聯程式碼封裝括：<script>塊內容，內聯事件，內聯樣式。

  (1) script代碼，<script>……<scritp>

  對於<script>塊內容是完全不能執行的。例如：

  <script>getyourcookie()</script>

  (2) 內聯事件。

  <a href="" onclick="handleClick();"></a> <a href="javascript:handleClick();"></a>

  (3) 內聯樣式

  <div style="display:none"></div>

  雖然CSP中已經對script-src和style-src提供了使用”unsafe-inline”指令來開啟執行內聯代碼，但為了安全起見還是慎用”unsafe-inline”。

• EVAL相關功能被禁用

  使用者輸入字串，然後經過eval()等函數轉義進而被當作指令碼去執行。這樣的攻擊方式比較常見。於是乎CSP預設配置下，eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …)都被禁止運行。
  比如：

  alert(eval("foo.bar.baz"));window.setTimeout("alert(‘hi‘)", 10); window.setInterval("alert(‘hi‘)", 10); new Function("return foo.bar.baz");

  如果想執行可以把字串轉換為內嵌函式去執行。

  alert(foo && foo.bar && foo.bar.baz);window.setTimeout(function() { alert(‘hi‘); }, 10);window.setInterval(function() { alert(‘hi‘); }, 10);function() { return foo && foo.bar && foo.bar.baz };

  同樣CSP也提供了”unsafe-eval”去開啟執行eval()等函數，但強烈不建議去使用”unsafe-eval”這個指令。

6.CSP 分析報告

可以用report-uri指令使瀏覽器發送HTTP POST請求把攻擊報告以JSON格式傳送到你指定的地址。接下來給大家介紹你的網站如何配置來接收攻擊報告。

• 啟用報告

  預設情況下，違規報告不會發送。為了能使用違規報告，你必須使用report-uri指令，並至少提供一個接收地址。

  Content-Security-Policy: default-src self; report-uri http://reportcollector.example.com/collector.cgi

  如果想讓瀏覽器只彙報報告，不阻止任何內容，可以改用Content-Security-Policy-Report-Only頭。

• 違規報告文法

  該報告JSON對象包含以下資料：

  blocked-uri：被阻止的違規資源document-uri：攔截違規行為發生的頁面original-policy：Content-Security-Policy頭策略的所有內容referrer：頁面的referrerstatus-code：HTTP響應狀態violated-directive：違規的指令

• 違規報告例子

  http://example.com/signup.html 中CSP 規定只能載入cdn.example.com的CSS樣式。

  Content-Security-Policy: default-src ‘none‘; style-src cdn.example.com; report-uri /test/csp-report.php

  signup.html中的代碼類似與這樣：

  <!DOCTYPE html><html> <head>   <title>Sign Up</title>   <link rel="stylesheet" href="css/style.css"> </head> <body>   ... Content ... </body></html>

  你能從上面的代碼找出錯誤嗎？策略是只允許載入cdn.example.com中的CSS樣式。但signup.html試圖載入自己域的style.css樣式。這樣違反了策略，瀏覽器會向 http://example.com/test/csp-report.php 發送POST請求提交報告，發送格式為JSON格式。

  {  "csp-report": {    "document-uri": "http://example.com/signup.html",    "referrer": "",    "blocked-uri": "http://example.com/css/style.css",    "violated-directive": "style-src cdn.example.com",    "original-policy": "default-src ‘none‘; style-src cdn.example.com; report-uri /_/csp-reports",  }}

  你從上面可以看到blocked-uri給出了詳細的阻斷地址 http://example.com/css/style.css，但也並不是每次都是這樣。比如試圖從 http://anothercdn.example.com/stylesheet.css 載入CSS樣式時，瀏覽器將不會傳送完整的路徑，只會給出 http://anothercdn.example.com/ 這個地址。這樣做是為了防止泄漏跨域的敏感資訊。

  服務端csp-report.php代碼可以這樣寫：

  <?php $file = fopen(‘csp-report.txt‘, ‘a‘);$json = file_get_contents(‘php://input‘);$csp = json_decode($json, true);foreach ($csp[‘csp-report‘] as $key => $val) {    fwrite($file, $key . ‘: ‘ . $val . "");}fwrite($file, ‘End of report.‘ . "");fclose($file);?>

7.參考連結

• http://www.ruanyifeng.com/blog/2016/09/csp.html
• http://blog.topsec.com.cn/ad_lab/content-security-policy/
• 79978761
• https://www.jianshu.com/p/b223c5b9d5ab
• https://content-security-policy.com/
• https://www.imuo.com/a/f7566a17dcfe788216bbc5245e91a631fcc259bfac97dc7f94bf8002ba38fa21
• https://w3c.github.io/webappsec-csp/#intro
• https://kuaibao.qq.com/s/20180522G095D900?refer=spider

Web 安全之Alibaba Content Security Service策略（Content-Security-Policy,CSP）詳解