JAVA年度安全 第七周 内容安全策略

最新推荐文章于 2024-03-05 12:00:00 发布
最新推荐文章于 2024-03-05 12:00:00 发布
阅读量3.1k 收藏
点赞数
分类专栏: Web Tech 文章标签: 安全 web应用 浏览器 scripting 服务器

 

http://www.jtmelton.com/2012/02/14/year-of-security-for-java-week-7-content-security-policy/

What is it and why should I care?

内容安全策略(CSP)由Mozilla推出的新技术,在WEB应用上新增一个防护层,主要用于XSS攻击,同时也能防护点击劫持攻击。

OWASP针对普通XSS(https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet)和基于DOM的XSS(https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet)的防护手册已经证明了解决XSS是一个复杂的事情。 CSP通过以下几点方式来帮助应用开发者解决XSS问题。

 

Whitelist Content Locations内容白名单

XSS危害性大的原因是浏览器完全信任来自于服务器的内容,即使这个内容已经被篡改过,或者来自于一个意料外的地址。这也是CSP要解决的问题:应用开发人员声明一个可行内容地址的白名单,实现CSP标准的浏览器只信任从白名单地址加载的内容,忽略非白名单地址提供的可执行内容。

No Inline Scripts禁止内联脚本

XSS的一种方式是在内容中添加内联脚本,因为浏览器无法区分这些内联脚本是服务器发送的,还是攻击者植入的。CSP强制性要求脚本和内容分置到不同的文件上。这意味着开发人员必须把脚本放到另外的文件上,很多应用需要重新开发(twitter是一个遵循CSP的案例)。基于上述CSP的规则,成功实施XSS攻击,攻击者需要如下操作:

第一步:在页面上植入一个脚本tag

第二步:确保脚本tag加载的资源网站地址在白名单中

第三步:保证脚本tag加载的资源在这个网站中。

这些步骤是XSS攻击非常麻烦。

注意:CSP无法阻止基于事件的XSS脚本攻击,例如onXXX处理器或者addEventListener方式

 

No Code From Strings (eval dies)禁止eval执行

另一个有意义的规则是禁止从字符串创建代码。这意味着eval(以及类似功能的函数)不能被使用。通过字符串创建代码是一种流行的攻击方式,而且基本上无法跟踪。所以移除此类函数帮助很大。

这个规则带来的问题是如何处理JSON解析。从安全的角度上来说,正确的做法就是根据JSON的数据格式来解析而不是使用eval,因此影响不大。

 

Policy Violation Reporting违反规则报告

CSP有特色的地方在于可以为网站配置一个处理违反规则的处理器,在报表模式和强制模式下都能提供数据。当启动CSP的报表模式,可以记录网站上所有被阻止的地址(适用于测试)。强制模式下,不仅能汇总数据,同时也是一个简易的XSS探测方式(生产环境使用,不执行XSS脚本)。

 

Whatshould I do about it?

CSP没有任何不良特性,你应该使用CSP,能够是网站更安全。即使浏览器不支持CSP,CSP规则也不会对浏览器有任何影响,不能因为浏览器而放弃CSP。

使用CSP的基本流程:

1、 通过基本安全开发规则来防护XSS

2、 学习CSP-阅读CSP规范

3、 修改网站的代码并且测试验证(需要开发量)

4、 在报表模式下监控违反规则的地方,并且修复这些问题(如果测试充分,可以省掉这一步)

5、 确认报表模式下没有问题,切换为强制模式

 

有2种常用方式在代码中实现CSP:HTTP报文头和META Tag。HTTP报文头的方式更常用,示例如下:

Content-Security-Policy: default-src'self';
img-src *;
object-src media1.example.com media2.example.com *.cdn.example.com;
script-src trustedscripts.example.com;
report-uri http://example.com/post-csp-report

 

示例说明:

第一行:默认只允许来自网站自身的内容

第二行:允许使用任意网站的图片

第三行:只允许使用指定网站提供的数据

第四行:只使用trustedscripts.example.com提供的脚本

第五行:向这个地址汇集违反CSP规则的操作

 

CSP是一个有趣又好用的、用于解决XSS的技术,很应该加到你的工具库中。

 

References
———–
https://developer.mozilla.org/en/Introducing_Content_Security_Policy
https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html
https://wiki.mozilla.org/Security/CSP/Design_Considerations
https://wiki.mozilla.org/Security/CSP/Specification
https://dvcs.w3.org/hg/content-security-policy/raw-file/bcf1c45f312f/csp-unofficial-draft-20110303.html
http://www.w3.org/TR/CSP/
http://blog.mozilla.com/security/2009/06/19/shutting-down-xss-with-content-security-policy/
https://mikewest.org/2011/10/content-security-policy-a-primer
http://codesecure.blogspot.com/2012/01/content-security-policy-csp.html
https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet
http://blog.spiderlabs.com/2011/04/modsecurity-advanced-topic-of-the-week-integrating-content-security-policy-csp.html

 

wavefly_liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Content Security Policy设置
阳光
06-06 5043
Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。
Java安全——策略文件说明
多头注意力探索Now
06-27 1851
java安全策略文件说明
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java2020
02-08
7. **JVM优化**:Java虚拟机(JVM)是Java程序运行的基础,2020年,JVM的性能优化技术,如G1垃圾收集器的改进、ZGC和Shenandoah等低暂停时间的垃圾收集器,以及针对Java内存模型的优化,都是开发者关注的重点。...
2019年4月1日蓝桥杯省赛第十届蓝桥杯真题JAVA(G组)
12-18
【标题】"2019年4月1日蓝桥杯省赛第十届蓝桥杯真题JAVA(G组)"指的是2019年度第十届蓝桥杯程序设计竞赛的省级比赛,该比赛针对Java编程语言组别的一系列真题。蓝桥杯是一项全国性的IT技能竞赛,旨在检验参赛者的编程...
薪资管理薪资管理java
03-31
7. **安全性与性能**:Java提供了丰富的安全框架如Spring Security,用于保护敏感的薪资数据。同时,通过优化代码结构、使用缓存、数据库索引等方式提升系统性能。 8. **测试与维护**:利用JUnit进行单元测试,...
发送资料的java代码
01-30
7. **安全**:如果涉及敏感数据,应使用SSL/TLS加密连接,Java的`SSLSocket`或`HttpsURLConnection`可以实现这一功能。 在给定的压缩包"年报与月报发送代码"中,我们可以假设包含的是用于发送年度报告和月度报告的...
浙大远程教育2014年度电子商务技术基础离线作业.pdf
10-19
电子商务技术基础是信息技术与商业活动相结合的重要领域,它涵盖了网络技术、...这些知识点构成了电子商务技术基础的重要组成部分,理解和掌握这些内容对于理解电子商务系统的工作原理、实现机制以及安全策略至关重要。
nginx转发https网页加载http图片乱码问题
艾瑞-Arin
03-08 3167
原因一: 在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。 解决方案: 网页使用https情况下需要全站代码都支持https://。 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。 原因二:X-Content-Type-Options 互联网上的资源有各种类型,通.
详解Java项目安全方向解决方案
左安青的博客
05-23 2320
Java项目开发中,安全方向主要包括以下几个方面:认证、授权、加密、防火墙、日志管理、漏洞扫描和安全审计等。下面我分别对这几个方面进行详解,并提供解决方案来确保Java项目的安全
安全头响应头(一)Content-Security-Policy
最新发布
wangluoanquan111的博客
03-05 1258
一 [Content Security Policy CSP](https://developer.mozilla.org/en-① 背景引入② 启用CSP的两种方法③ CSP语法④[各个指令的解读](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/object-src “各个指令的解读”)⑤。
前端安全配置之Content-Security-Policy(csp)
weixin_45923962的博客
05-10 366
前端安全配置之Content-Security-Policy(csp)
配置web应用服务的Content-Security-Policy
CSDN技术支持
11-13 2万+
1.Tomcat中原生的Security 2.配置Tomcat的web.xml 3.配置html的META                                                                                  Tomcat中原生的Security Tomcat中的安全管理原理基本与前面JDK中的security类似,只是启动时需要...
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2215
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
WEB应用内容安全策略(Content Security Policy)
javagty6778的博客
03-03 409
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
HTTP 响应头Content-Security-Policy
focus on security
08-24 9220
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
Java项目安全问题及解决方案
明耀的博客
09-17 4463
转载:Java项目安全问题及解决方案 1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用
Java安全编程:挑战与防护策略
Java安全编程是一个关键领域,它探讨了如何在Java开发中确保代码的安全性,尤其是在J2SE和J2EE环境中。Java作为一种被设计为具有内在安全特性的语言,提供了多层防护机制。首先,在JVM级别,Java通过类型安全(Type...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值