CSP内容安全策略

于 2024-08-20 10:54:38 发布
阅读量1.1k 收藏 26
点赞数 12
分类专栏: 计算机网络 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YhMjQx/article/details/141352440
版权

目录

CSP内容安全策略

一、引入

二、CSP内容安全策略

1、通过 HTTP 响应头信息的 Content-Security-Policy 的字段

2、通过网页的 meta 标签

3、在security的read.php页面,增加以下响应头

4、report-uri安全报告

5、其他安全配置

6、Web服务器全局配置

三、DVWA中的CSP

四、其他安全响应头

1、理解CSP内容安全策略的配置项及作用

2、掌握利用CSP机制实现安全数据采集

3、对CSP及进行安全策略配置

4、开发PHP页面采集安全报告

5、对DVWA的CSP安全进行通关

一、引入

XSS中的Get Cookie攻击,可以通过在setcookie字段中增加httponly属性来限制JS读取Cookie,但是并不能从根本上解决XSS攻击,因为XSS攻击的目的不仅仅只是窃取Cookie

 修改php.ini配置文件的参数
 session.cookie_httponly=On

  • 没有限制httponly之前

    当我访问一个带有beefxss的页面时,很容易被攻击,因为引用这个hook.js时完全没有受到任何影响

    image-20240815163315699

  • 那么我添加上httponly

    再来访问这个页面,我们可以发现,在第一次访问时会在SetCookie字段后添加 httponly

    表示,Cookie信息无法被js代码所获取,只能在请求中看到

    image-20240815170351803

另外的防御方案就是对用户的输入斤西瓜各种校验,过程非常繁琐,还容易出错或者遗漏,有没有一种方法可以从根本上解决问题,就像CORS那用啊快捷方便的通过响应头的约束,就可以让浏览器执行安全检查,杜绝XSS漏洞呢?

二、CSP内容安全策略

CSP的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。他的实现和执行全部由浏览器完成(前端方面),开发者只需提供配置。

CSP大大增强了网页的安全性,攻击者及时发现了漏洞,也没法注入脚本,除非还控制了一台列入白名单的可信主机。有两种方法可以启用CSP。

1、通过 HTTP 响应头信息的 Content-Security-Policy 的字段

 Content-Security-Policy: script-src 'self'; Object-src 'none'; style-src cdn.example.org third-party.org; child-src: https:

在PHP中直接使用 header() 函数定义响应头即可

2、通过网页的 meta 标签

 <meta http-equiv="Content-Security-Policy" content="script-src 'self'; Object-src 'none'; style-src cdn.example.org third-party.org; child-src: https:">
 ​
 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; style-src 'self' 'unsafe-inline';script-src 'self' 'unsafe-eval' 'unsafe-inline';img-src  'self'  'unsafe-inline'  'unsafe-eval'  data:">
 ​

上述代码中,CSP做了如下配置:

 default-src 
 定义针对所有类型(js/image/css/font/ajax/iframe/多媒体等)资源的默认加载策略,如果某类型资源没有单独定义策略,就是用默认的
 ​
 script-src 'self' http://www.woniunote.com 
 对于引用的脚本,浏览器只信任来自当前域名(也就是正在访问的这个域名)和 http://www.woniunote.com 这个域下的(注意域的组成部分 协议 域名 端口号)
 ​
 object-src 'none' 
 对于 <object> 标签,不信任任何URL,即,不加载任何资源
 ​
 style-src cdn.example.org third-party.org;
 对于样式表,只信任 cdn.example.org 和 third-party.org 俩域名下的
 ​
 child-src https:
 对于框架(frame) 必须使用https协议加载,注意冒号时https协议的一部分
 ​
 对于其他资源,如若未定义,则使用 default-src

一旦启用后,不符合CSP的外部资源就会被阻止加载

类似于 script-src 'self' 中和 object-src 'none' 用单引号包裹的self属于CSP 内置的一些属性,需要用单引号包裹起来,其他自己添加的就不需要

如果 script-src 不允许加载外部的资源,那么<script> 标签也无法引用了。说明CSP等级高于跨域访问

3、在security的read.php页面,增加以下响应头

 header("Content-Security-Policy: script-src 'self'");

image-20240815182148957

如果出现了类似于下图的行内代码

image-20240815182230628

我们需要使用 unsafe-inline ,当然,如果使用了这个属性,上面这样的代码就可以被执行然后加载外部资源

image-20240815182252502

image-20240815184047970

image-20240815184227602

经过测试可以发现,firefox-hackbar 不受CSP的限制(我已经在read.php中配置好了CSP,但是firefox-hackbar访问被注入了XSS代码的页面,竟然无法阻止hook.js的引用),简直太nb了,c

4、report-uri安全报告

在 Content-Security-Policy 中,我们还可以设置 report-uri 属性,用于象一个指定的服务器地址提交 JSON 格式的安全报告。该属性一旦开启,当任何违背了 CSP 的外部资源要被加载时,都会形成报告。

 Content-Security-Policy: script-src 'self'; report-uri http://192.168.230.147/security/temp/cspreport.php

一旦访问到受到攻击的页面并触发了脚本执行,浏览器除了阻止攻击脚本执行外,还会按照 以下 JSON 格式提交安全报告内容

 {
     "csp-report":
     {"document-uri":"http://192.168.230.147/security/read.php?articleid=146",
      "referrer":"http://192.168.230.147/security/list.php",
      "violated-directive":"script-src-elem",
      "effective-directive":"script-src-elem",
      "original-policy":"script-src 'self' http://192.168.230.150; report-uri http://192.168.230.147/security/temp/cspreport.txt",
      "disposition":"enforce",
      "blocked-uri":"http://192.168.230.128:3000/hook.js",
      "status-code":200,
      "script-sample":""}
 }

然后我们编写 cspreport.php 用于接收这些 JSON 数据并处理保存到文件中

 <?php
 ​
 $time = date("Y-m-d H:i:s");
 $file = fopen("./temp/cspreport.txt",'a');
 $jsondata = file_get_contents('php://input');  // 利用php伪协议获取POST提交数据
 $data = json_decode($jsondata,true);  // true 表示生成关联数组
 // fwrite($file,$jsondata);
 fwrite($file,"report-time:".$time."\r\n");
 foreach($data['csp-report'] as $key => $value) {
     // echo $key."===".$value;
     fwrite($file,$key.":".$value."\r\n");
 }
 fwrite($file,"\r\n-------------------------------------------\r\n\r\n");
 fclose($file);
 ​
 ?>

访问一下被攻击的页面http://192.168.230.147/security/read.php?articleid=146

image-20240815223116781

查看cspreport.txt文件中的内容

image-20240815223155676

ok

需要注意,该操作需要将cspreport.txt文件所在目录库和本身都添加写的权限

如果设置响应头Content-Security-Policy-Report-Only,则表示只进行请求拦截,但不会上报日志。也就是

 header("Content-Security-Policy: script-src 'self' http://192.168.230.150; report-uri http://192.168.230.147/security/cspreport.php");

 header("Content-Security-Policy-Report-Only: script-src 'self' http://192.168.230.150; report-uri http://192.168.230.147/security/cspreport.php");

二者的区别就是,前者既拦截白名单之外的外部资源加载,又会上报拦截信息到指定文件。而后者单纯只是拦截而已

5、其他安全配置

image-20240815224343589

更多CSP安全策略,可参考Content Security Policy 入门教程 - 阮一峰的网络日志 (ruanyifeng.com)

image-20240815224235809

6、Web服务器全局配置

image-20240815224453847

三、DVWA中的CSP

image-20240815224546939

四、其他安全响应头

YhMjQx
关注
专栏目录
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8321
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP内容,来规定浏览器可以加载的资
CSP 内容安全策略
阿道夫的博客
01-03 512
Content-Security-Policy和Content-Security-Policy-Report-Only,也可以同时使用,Content-Security-Policy带有策略强制性,而Content-Security-Policy-Report-Only中的策略只产生报告不具有强制性。CSP(Content-Security-Policy)内容安全策略,官方解释:CSP是一个额外的完全层,用于检测并小若某些特定类型的攻击,包括跨站脚本攻击XSS和数据注入攻击等。2. 前端通过标签进行配置。
CSP内容安全策略详解
Songxianshengbei的博客
03-31 832
除了Content-Security-Policy字段外,CSP还支持其他一些相关的字段,如Content-Security-Policy-Report-Only用于报告模式,即只记录违反策略的行为而不阻止其执行;这些规则可以是具体的URL、域名、协议等,也可以是特殊的关键字,如'self'表示允许加载来自同一来源的资源。此外,CSP还支持一些其他指令和特性,如default-src用于设置所有未明确指定类型的资源的默认来源规则,nonce和hash用于验证资源的完整性等。
内容安全策略 (CSP)
allway2的博客
09-05 6512
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
网络安全术语解读 」内容安全策略CSP详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-09 2883
CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的主要原理是通过在网页中实施一些安全策略来限制代码执行,从而减少攻击者利用的机会。Note:要启用CSP,响应需要包含名为的HTTP响应标头,该标头的值包含策略。策略本身由一个或多个指令组成,由分号分隔。
HTML5安全介绍之内容安全策略CSP)简介
01-19
万维网的安全策略植根于同源策略。...每个来源都与网络的其它部分分隔开,为开发人员构建了一个... 现在我们介绍一个全新的、有效的安全防御策略来减轻这种风险,这就是内容安全策略(ContentSecurity Policy,CSP)。
express-csp:内容安全策略的快速扩展
05-22
快速csp 用法 这是一个Express扩展,它使您可以为Express Application设置 。 原料药 延长 var csp = require ( 'express-csp' ) ; var app = express ( ) ; csp . extend ( app , { policy : { directives : { ...
CSP内容安全策略详解.zip
03-31
**内容安全策略(Content Security Policy,简称CSP)** 是一种网络安全性机制,用于防御跨站脚本攻击(XSS)和其他恶意注入。通过定义一套允许加载的资源来源、类型和执行方式,CSP帮助网站管理员限制浏览器仅执行...
内容安全策略CSP
最新发布
weixin_42451330的博客
06-06 672
本文章介绍了内容安全策略(Content Security Policy,CSP),列举了常见CSP示例及如何通过http标头和meta元素配置CSP策略
CSP内容安全策略
weixin_45960266的博客
03-02 938
需要注意的是,正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解,并进行适当的配置。同时,CSP本身也存在一些局限性,例如无法防止服务器端攻击等问题,因此需要综合使用其他安全技术来保护Web应用程序的安全。CSP还可以指定允许的图片、样式表、字体和其他资源的来源,以及禁止使用内联脚本和样式等不安全的内容内容安全策略CSP,Content Security Policy)是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击(XSS)等Web攻击的机制。
内容安全策略( CSP )
automation13的博客
11-10 291
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。(摘自MDN) 具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP 对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188 对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dan...
CSP 内容安全策略, 介绍, 配置CSP策略, CSP实战绕过
探测???
11-06 4209
CSP内容安全策略)是一种额外的安全层,可以帮助检测和减轻某些类型的攻击,如跨站脚本攻击(XSS)和数据注入攻击。CSP允许网站管理员定义哪些动态资源允许执行和加载,有助于防止恶意脚本执行以及非授权内容的加载。通过使用HTTP头部,网站可以控制用户代理如何执行页面的特定部分,这可以显著减少XSS攻击的风险。default-src:设置默认加载资源的策略(例如,自身的源、任何地方的源、或者不加载任何外部资源)。
网络安全 | 浏览器安全机制】内容安全策略CSP)及沙箱环境
等风来
08-25 7381
以上为浏览器安全机制之内容安全策略CSP)及沙箱环境详析,内容安全策略CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
内容安全策略(Content Security Policy,CSP
AiENG_07的博客
10-16 331
CSP是一组浏览器安全标头的规范,通过这些标头,网站所有者可以告诉浏览器哪些资源可以加载并执行,以及哪些不可以。这有助于防止恶意脚本的注入,因为浏览器将拒绝加载不符合CSP规则的内容内容安全策略(Content Security Policy,CSP)是一个重要的安全机制,用于帮助保护网站免受恶意攻击和跨站脚本(XSS)等安全威胁。总之,CSP是一个有助于提高网站安全性的重要工具,但需要谨慎配置和管理,以确保安全性与功能之间的平衡。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值