Report URI现已启用基于一次性随机数的内容安全强制策略

最新推荐文章于 2024-08-20 10:54:38 发布
最新推荐文章于 2024-08-20 10:54:38 发布
阅读量288 收藏
点赞数
文章标签: 安全 p2p 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65135736/article/details/121990759
版权

好消息!大家期待已久的一个项目终于落地了:Report URI正式启用基于一次性随机数(nonce)的内容安全(Content Security Policy,CSP)策略。

内容安全策略

大家应该都很熟悉内容安全策略了CSP提供了一站式解决方案,用以抵御包括跨站点脚本(Cross-Site ScriptingXSS)在内的各类应用程序攻击。虽然近年来使用CSP,特别是CSP随机数,可能身陷侵权风险,但CSP无疑是一项伟大的技术。你可以用2015年推出的Report URI工具生成风险报告,甚至通过Script WatchData Watch来防范Magecart等现代网络攻击。本文主要聚焦CSP的全新特性。

CSP主机白名单

CSP的常见操作之一就是维护资源加载源头主机的白名单。例如,使用script-src指令:

script-src 'self' 'report-sample' disqus.com c.disquscdn.com platform.instagram.com cdnjs.cloudflare.com scotthelme.disqus.com a.disquscdn.com go.disqus.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com gist.github.com/ScottHelme/ static.cloudflareinsights.com js.stripe.com https://unpkg.com/@tryghost/;

在这个例子中,脚本来源不多,相对简单。但随着应用程序日益复杂,白名单管理将涉及添加新条目和删除旧条目,操作更为繁琐。鉴于存在诸多自托管资产,Report URI使用的白名单较为简单,如下所示:

script-src cdn.report-uri.com api.stripe.com js.stripe.com static.cloudflareinsights.com;

看似简单,CSP却行之有效。正因CSP禁止执行内联脚本,去年的年度渗透测试中,测试人员才无法利用XSS漏洞进行网络攻击,CSP从而有力地保护了系统。

CSP一次性随机数

如要使用内联JavaScript脚本,CSP可能略有不便。这时可以通过CSP一次性随机数进行JavaScript脚本加载。这种方式要求使用Cloudflare Worker来注入安全标头(Security Headers)。我之前的一篇博客曾详细介绍了如何通过Cloudflare Worker使用CSP随机数。当时我用的是报告模式(Content-Security-Report-Only)标头来设置和测试随机数,这种方式可以保障安全,即使有所纰漏,也不会造成问题。

尽管去年多次延期,经过大量测试之后终于达成目标,成功部署了基于CSP一次性随机数的强制策略。

欢迎访问Report URI网站或查看我们提供的安全标头扫描结果来验证这一策略。您也可以直接在开发工具或任意浏览器的源代码窗口中查看策略是否生效。

随机数与主机并重

我们同时使用了主机白名单和CSP随机数。尽管主机白名单简单,易于维护,基于一些考量我们仍选择同时使用CSP随机数。CSP规范如下:

无论内联脚本或外部脚本,具备正确随机数的脚本元素即可执行。如不具备正确随机数,URL在白名单之中的脚本元素才可执行。因此,即便能够将标记注入受保护的资源,如攻击者无法猜中随机值,攻击仍会失败。

这一机制足以抵御以下四种潜在风险场景:

  1. 攻击者注入不带随机数的内联脚本标签:因CSP禁止执行内联脚本,不会执行带此标签的脚本。
  2. 攻击者注入带有随机数的内联脚本标签:因攻击者无法猜中随机值,不会执行脚本。
  3. 攻击者注入不带随机数的外部脚本标签:因脚本来源不在白名单中,不会执行脚本。
  4. 攻击者注入带有随机数的外部脚本标签:因攻击者无法猜中随机值,不会执行脚本。

综上,主机白名单与CSP随机数并重的机制为系统提供了强有力的保护。下一步,我们要将script-src中的随机数分离到一个单独的CSP标头中,如下所示:

Content-Security-Policy: script-src cdn.report-uri.com api.stripe.com js.stripe.com static.cloudflareinsights.com;

Content-Security-Policy: script-src 'nonce-abc123'

目前,攻击者仅需要猜到CSP随机数值或使用白名单主机即可进行攻击。但当主机白名单和随机数位于不同标头中时,想要加载资源则需同时满足两种策略要求:来源是白名单主机且随机数正确

强制策略层层加码意味着进一步限定了受保护的资源。

稿件来源:Report URI is now using CSP nonces in an enforced policy

科技湃
关注
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 948
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
分布式文件系统FastDFS
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-08 6704
概述 FastDFS是一个开源的轻量级分布式文件系统,是我国一款开源的分布式文件系统 由阿里巴巴开发,其真题架构由跟踪服务器(tracker server)、存储服务器(storage server)和客户端(client)三个部分组成,主要解决了海量数据存储问题,特别适合以中小文件(建议范围:4KB < file_size <500MB)为载体的在线服务。 特点: 1>Fast......
绕过5秒盾Cloudflare和DDoS-GUARD
Cocktail_py的博客
02-22 3072
绕过5秒盾Cloudflare和DDoS-GUARD5秒盾的特点免费版5秒盾的绕过方法付费版5秒盾的绕过方法 目标网站:aHR0cHM6Ly93d3cuemFpa29zdG9yZS5jb20vemFpa29zdG9yZS8= 5秒盾的特点 <title>Just a moment...</title> 例如: <!DOCTYPE html><html lang="en-US"><head><title>Just a moment...
Content Security Policy最简单易懂的介绍
星辰的专栏
08-07 2635
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。两种方法可以启用 CSP。一种是通过 HTTP 头信息的的字段。nginx通过网页的标签配置:上面代码中,CSP 做了如下配置脚本:只信任当前域名标签:不信任任何URL,即不加载任何资源。
CSP内容安全策略
最新发布
YhMjQx的博客
08-20 1159
本篇主要讲解CSP内容安全策略
内容安全策略
顺其自然~专栏
07-06 2994
跨域脚本攻击XSS(Cross Site Scripting)是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,网站开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,..
最全免费CDN公共库——网站提速
呆傻大哥
05-09 9653
转载自 http://blog.赵阳.cn/cdnjs.html I. 开源静态文件 CDN 我们的目标是提供这样一个仓库,让它尽可能全面收录优秀的开源库,并免费为之提供 CDN 加速服务,使之有更好的访问速度和稳定的环境。同时,我们也提供开源库源接入的入口,让所有人都可以提交开源库,包括 JS、CSS、image 和 swf 等静态文件。(staticfile介绍) 下面是
使用浏览器的 Reporting API 上报站点错误
前端劝退师
11-23 979
Reporting API定义了一个新的HTTP Header,Report-To,它让Web开发人员以自定义的方式来将浏览器的警告和错误发送到指定服务器。例如 CSP违规,F...
从头撸到脚,SpringBoot 就一篇全搞定!
十年代码写十年
03-10 946
一、Hello Spring Boot 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 微服务:架构风格(服务微化) 一个应用应该是一组小型服务;可以通过HTTP的方式进行互通; 单体应用:ALL IN ONE 微服务:每一个功能元素最终都是一个可独立替换和独立升级的软件单元;...
计算机算法常用术语中英对照(分为两部分 其中一部分表格形式 )
weixin_30488085的博客
06-25 4945
第一部分 Data Structures 基本数据结构 Dictionaries 字典 Priority Queues 堆 Graph Data Structures 图 Set Data Structures 集合 Kd-Trees 线段树 Numerical Problems 数值问题 Solving Linear Equations 线性方程组 B...
SpringBoot 就这一篇全搞定
十年代码写十年
12-22 564
一、Hello Spring Boot 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 微服务:架构风格(服务微化) 一个应用应该是一组小型服务;可以通过HTTP的方式进行互通; 单体应用:ALL IN ONE 微服务:每一个功能元素最终都是一个可独立替换和独立升级的软件单元;...
nginx配置CSP策略和Nonce随机数方案
chy2z的专栏
04-06 2723
CSP(Content-Security-Policy) Content-Security-Policy 的 HTTP Header 可以指示浏览器只信任指定白名单的JS源。即使通过XSS攻击注入了恶意的脚本文件,浏览器也不会执行。 CSP配置例子 location ~ ^/test/(.*)$ { add_header Content-Security-Policy "default-src 'self' ; font-src 'self' data: ;script-src 'sel...
nginx配置文件中$request_uri到底是指的url里哪部分
热门推荐
cn_yaojin
05-16 5万+
原文地址:https://yq.aliyun.com/articles/556175摘要: 我经过反复测试,结合在log里添加$request_uri变量,得出结论,这个$request_uri就是完整url中刨去最前面$host剩下的部分,比如http://www.baidu.com/pan/beta/test1?fid=3这个url,去掉www.baidu.com剩下的就是了,日志里会看到打印...
Content Security Policy 入门教程
weixin_33805557的博客
09-30 209
Content Security Policy 入门教程 跨域脚本攻击XSS是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防...
内容安全策略(CSP),防御 XSS 攻击的好助手
weixin_34146805的博客
06-06 397
什么是 CSP? 其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。 这里有一个 PHP 的例子: <?php header("Content-Security-Policy: <your directives>"); ?> 一些指令 你可以定义一些全局规则或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值