Zabezpečení prohlížeče: Podrobný pohled na Content Security Policy (CSP)

V dnešním webovém prostředí je bezpečnost prvořadá. Webové stránky čelí neustálému přívalu potenciálních útoků, včetně cross-site scripting (XSS), data injection a clickjacking. Jednou z nejúčinnějších obran proti těmto hrozbám je Content Security Policy (CSP). Tento článek poskytuje komplexního průvodce CSP, zkoumá jeho výhody, implementaci a osvědčené postupy pro zabezpečení vašich webových aplikací.

Co je Content Security Policy (CSP)?

Content Security Policy (CSP) je přidaná vrstva zabezpečení, která pomáhá detekovat a zmírňovat určité typy útoků, včetně Cross Site Scripting (XSS) a data injection útoků. Tyto útoky se používají pro vše od krádeže dat přes poškození stránek až po distribuci malwaru.

CSP je v podstatě whitelist, který říká prohlížeči, které zdroje obsahu jsou považovány za bezpečné pro načtení. Definováním přísné politiky instruujete prohlížeč, aby ignoroval jakýkoli obsah ze zdrojů, které nebyly explicitně schváleny, čímž účinně neutralizujete mnoho XSS útoků.

Proč je CSP důležité?

CSP nabízí několik klíčových výhod:

Zmírňuje XSS útoky: Kontrolou zdrojů, ze kterých může prohlížeč načítat obsah, CSP dramaticky snižuje riziko XSS útoků.
Snižuje zranitelnosti vůči clickjackingu: CSP může pomoci předcházet útokům clickjacking tím, že kontroluje, jak může být webová stránka vložena do rámce (frame).
Vynucuje HTTPS: CSP může zajistit, že všechny zdroje jsou načítány přes HTTPS, což zabraňuje útokům typu man-in-the-middle.
Snižuje dopad nedůvěryhodného obsahu: I když je do vaší stránky nějakým způsobem vložen nedůvěryhodný obsah, CSP může zabránit spuštění škodlivých skriptů.
Poskytuje hlášení: CSP lze nakonfigurovat tak, aby hlásilo porušení, což vám umožní sledovat a zpřesňovat vaši bezpečnostní politiku.

Jak CSP funguje

CSP funguje přidáním hlavičky odpovědi HTTP nebo značky <meta> na vaše webové stránky. Tato hlavička/značka definuje politiku, kterou musí prohlížeč vynucovat při načítání zdrojů. Politika se skládá z řady direktiv, z nichž každá specifikuje povolené zdroje pro určitý typ zdroje (např. skripty, styly, obrázky, fonty).

Prohlížeč pak tuto politiku vynucuje blokováním všech zdrojů, které neodpovídají povoleným zdrojům. Když dojde k porušení, prohlížeč jej může volitelně nahlásit na zadanou URL.

Direktivy CSP: Komplexní přehled

Direktivy CSP jsou jádrem politiky a definují povolené zdroje pro různé typy zdrojů. Zde je přehled nejběžnějších a nejdůležitějších direktiv:

default-src: Tato direktiva definuje výchozí zdroj pro všechny typy zdrojů, které nejsou explicitně specifikovány jinými direktivami. Je to dobrý výchozí bod pro základní politiku CSP. Pokud je definována specifičtější direktiva, jako je `script-src`, přepíše direktivu `default-src` pro skripty.
script-src: Specifikuje povolené zdroje pro JavaScript. Toto je jedna z nejdůležitějších direktiv pro prevenci XSS útoků.
style-src: Specifikuje povolené zdroje pro CSS styly.
img-src: Specifikuje povolené zdroje pro obrázky.
font-src: Specifikuje povolené zdroje pro písma.
media-src: Specifikuje povolené zdroje pro prvky <audio>, <video> a <track>.
object-src: Specifikuje povolené zdroje pro prvky <object>, <embed> a <applet>. Poznámka: Tyto prvky jsou často zdrojem bezpečnostních zranitelností a doporučuje se nastavit tuto hodnotu na 'none', pokud je to možné.
frame-src: Specifikuje povolené zdroje pro prvky <iframe>.
connect-src: Specifikuje povolené zdroje pro XMLHttpRequest, WebSocket a EventSource spojení. To je klíčové pro kontrolu, kam může vaše webová stránka odesílat data.
base-uri: Specifikuje povolenou základní URL pro dokument.
form-action: Specifikuje povolené URL, na které lze odesílat formuláře.
frame-ancestors: Specifikuje povolené zdroje, které mohou vložit aktuální stránku do <frame>, <iframe>, <object> nebo <applet>. Používá se k prevenci útoků clickjacking.
upgrade-insecure-requests: Dává prohlížeči pokyn k automatickému upgradu všech nezabezpečených (HTTP) požadavků na zabezpečené (HTTPS) požadavky. To je důležité pro zajištění, že všechna data jsou přenášena bezpečně.
block-all-mixed-content: Zabraňuje prohlížeči načítat jakékoli zdroje přes HTTP, když je stránka načtena přes HTTPS. Jedná se o agresivnější verzi upgrade-insecure-requests.
report-uri: Specifikuje URL, na kterou by měl prohlížeč odesílat hlášení o porušení. To vám umožní sledovat a zpřesňovat vaši politiku CSP. *Zastaralé, nahrazeno `report-to`*
report-to: Specifikuje název skupiny definované v HTTP hlavičce `Report-To`, kam má prohlížeč odesílat hlášení o porušení. Tato direktiva vyžaduje správnou konfiguraci hlavičky `Report-To`.
require-trusted-types-for: Povoluje Trusted Types, DOM API, které pomáhá předcházet zranitelnostem DOM-based XSS. Vyžaduje specifické implementace a konfigurace Trusted Types.
trusted-types: Definuje seznam Trusted Types politik povolených pro vytváření sinků.

Klíčová slova pro seznam zdrojů

Kromě URL mohou direktivy CSP používat několik klíčových slov k definování povolených zdrojů:

'self': Povoluje obsah ze stejného původu (schéma a doména) jako chráněný dokument.
'unsafe-inline': Povoluje použití inline JavaScriptu a CSS. Používejte s extrémní opatrností, protože to výrazně oslabuje CSP a může znovu zavést zranitelnosti XSS. Pokud je to možné, vyhněte se tomu.
'unsafe-eval': Povoluje použití dynamických funkcí pro vyhodnocování JavaScriptu jako eval() a Function(). Také používejte s opatrností, protože to oslabuje CSP. Zvažte alternativy, jako jsou template literals.
'unsafe-hashes': Povoluje specifické inline obslužné rutiny událostí tím, že whitelituje jejich SHA256, SHA384 nebo SHA512 hashe. Užitečné pro přechod na CSP bez nutnosti okamžitě přepisovat všechny inline obslužné rutiny událostí.
'none': Zakazuje obsah z jakéhokoli zdroje.
'strict-dynamic': Umožňuje skriptům načteným důvěryhodnými skripty načítat další skripty, i když by tyto skripty normálně nebyly politikou povoleny. Užitečné pro moderní JavaScriptové frameworky.
'report-sample': Dává prohlížeči pokyn, aby do hlášení o porušení zahrnul vzorek porušujícího kódu. Užitečné pro ladění problémů s CSP.
data:: Povoluje načítání zdrojů z data: URL (např. vložené obrázky). Používejte s opatrností.
mediastream:: Povoluje načítání zdrojů z mediastream: URL (např. webkamera nebo mikrofon).
blob:: Povoluje načítání zdrojů z blob: URL (např. dynamicky vytvořené objekty).
filesystem:: Povoluje načítání zdrojů z filesystem: URL (např. přístup k lokálnímu souborovému systému).

Implementace CSP: Praktické příklady

Existují dva hlavní způsoby implementace CSP:

Hlavička odpovědi HTTP: Toto je doporučený přístup, protože poskytuje větší flexibilitu a kontrolu.
Značka <meta>: Toto je jednodušší přístup, ale má omezení (např. nelze jej použít s frame-ancestors).

Příklad 1: Hlavička odpovědi HTTP

Chcete-li nastavit hlavičku CSP, musíte nakonfigurovat váš webový server (např. Apache, Nginx, IIS). Specifická konfigurace bude záviset na vašem serverovém softwaru.

Zde je příklad hlavičky CSP:

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report

Vysvětlení:

default-src 'self': Standardně povoluje zdroje ze stejného původu.
script-src 'self' https://example.com: Povoluje JavaScript ze stejného původu a z https://example.com.
style-src 'self' 'unsafe-inline': Povoluje CSS ze stejného původu a inline styly (používejte s opatrností).
img-src 'self' data:: Povoluje obrázky ze stejného původu a data URL.
report-uri /csp-report: Odesílá hlášení o porušení na koncový bod /csp-report na vašem serveru.

Příklad 2: Značka <meta>

Můžete také použít značku <meta> k definování politiky CSP:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:">

Poznámka: Přístup pomocí značky <meta> má omezení. Například jej nelze použít k definování direktivy frame-ancestors, která je důležitá pro prevenci útoků clickjacking.

CSP v režimu pouze pro hlášení (Report-Only)

Před vynucením politiky CSP se důrazně doporučuje ji otestovat v režimu pouze pro hlášení. To vám umožní sledovat porušení, aniž byste blokovali jakékoli zdroje.

Chcete-li povolit režim pouze pro hlášení, použijte hlavičku Content-Security-Policy-Report-Only místo Content-Security-Policy:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://example.com; report-uri /csp-report

V režimu pouze pro hlášení bude prohlížeč odesílat hlášení o porušení na zadanou URL, ale nebude blokovat žádné zdroje. To vám umožní identifikovat a opravit jakékoli problémy s vaší politikou před jejím vynucením.

Nastavení koncového bodu pro hlášení (Report URI)

Direktiva report-uri (zastaralé, použijte `report-to`) specifikuje URL, na kterou má prohlížeč odesílat hlášení o porušení. Musíte na svém serveru nastavit koncový bod pro příjem a zpracování těchto hlášení. Tato hlášení jsou odesílána jako data JSON v těle požadavku POST.

Zde je zjednodušený příklad, jak byste mohli zpracovávat hlášení CSP v Node.js:

const express = require('express');
const bodyParser = require('body-parser');
const app = express();
const port = 3000;

app.use(bodyParser.json({ type: 'application/csp-report' }));

app.post('/csp-report', (req, res) => {
 console.log('CSP Violation Report:', JSON.stringify(req.body, null, 2));
 res.status(204).end(); // Respond with a 204 No Content
});

app.listen(port, () => {
 console.log(`CSP report server listening at http://localhost:${port}`);
});

Tento kód nastaví jednoduchý server, který naslouchá požadavkům POST na koncový bod /csp-report. Když je přijato hlášení, zapíše ho do konzole. V reálné aplikaci byste pravděpodobně chtěli tato hlášení ukládat do databáze pro analýzu.

Při použití `report-to` musíte také nakonfigurovat HTTP hlavičku `Report-To`. Tato hlavička definuje koncové body pro hlášení a jejich vlastnosti.

Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"https://example.com/csp-report"}],"include_subdomains":true}

Poté byste ve své hlavičce CSP použili:

Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

Osvědčené postupy pro CSP

Zde jsou některé osvědčené postupy, které je třeba dodržovat při implementaci CSP:

Začněte s přísnou politikou: Začněte s omezující politikou a postupně ji uvolňujte podle potřeby. To vám pomůže identifikovat a řešit potenciální bezpečnostní zranitelnosti hned na začátku.
Používejte nonces nebo hashe pro inline skripty a styly: Pokud musíte používat inline skripty nebo styly, použijte nonces (kryptograficky náhodné hodnoty) nebo hashe k whitelistování konkrétních bloků kódu. Je to bezpečnější než použití 'unsafe-inline'.
Vyhněte se 'unsafe-eval': Direktiva 'unsafe-eval' povoluje použití dynamických funkcí pro vyhodnocování JavaScriptu, což může být velké bezpečnostní riziko. Pokud je to možné, vyhněte se použití této direktivy. Zvažte použití template literals nebo jiných alternativ.
Používejte HTTPS pro všechny zdroje: Zajistěte, aby všechny zdroje byly načítány přes HTTPS, aby se zabránilo útokům man-in-the-middle. Použijte direktivu upgrade-insecure-requests k automatickému upgradu nezabezpečených požadavků.
Sledujte a zpřesňujte svou politiku: Pravidelně sledujte hlášení o porušení CSP a podle potřeby zpřesňujte svou politiku. To vám pomůže identifikovat a řešit jakékoli problémy a zajistit, že vaše politika zůstane účinná.
Zvažte použití generátoru CSP: Několik online nástrojů vám může pomoci vygenerovat politiku CSP na základě požadavků vaší webové stránky. Tyto nástroje mohou zjednodušit proces vytváření silné a účinné politiky.
Důkladně testujte: Před vynucením vaší politiky CSP ji důkladně otestujte v režimu pouze pro hlášení, abyste se ujistili, že neporušuje žádnou funkcionalitu na vaší webové stránce.
Použijte framework nebo knihovnu: Některé webové vývojářské frameworky a knihovny poskytují vestavěnou podporu pro CSP. Použití těchto nástrojů může zjednodušit proces implementace a správy vaší politiky CSP.
Buďte si vědomi kompatibility prohlížečů: CSP je podporováno většinou moderních prohlížečů, ale mohou se vyskytnout problémy s kompatibilitou u starších prohlížečů. Ujistěte se, že svou politiku testujete v různých prohlížečích, aby fungovala podle očekávání.
Vzdělávejte svůj tým: Ujistěte se, že váš vývojářský tým rozumí důležitosti CSP a jak jej správně implementovat. To pomůže zajistit, že CSP bude správně implementováno a udržováno po celou dobu životního cyklu vývoje.

CSP a skripty třetích stran

Jednou z největších výzev při implementaci CSP je nakládání se skripty třetích stran. Mnoho webových stránek se spoléhá na služby třetích stran pro analytiku, reklamu a další funkce. Tyto skripty mohou zavést bezpečnostní zranitelnosti, pokud nejsou správně spravovány.

Zde je několik tipů pro správu skriptů třetích stran s CSP:

Používejte Subresource Integrity (SRI): SRI vám umožňuje ověřit, že skripty třetích stran nebyly pozměněny. Když zahrnete skript třetí strany, přidejte atribut integrity s hashem skriptu. Prohlížeč poté ověří, že skript odpovídá hashi, než ho spustí.
Hostujte skripty třetích stran lokálně: Pokud je to možné, hostujte skripty třetích stran lokálně na svém vlastním serveru. To vám dává větší kontrolu nad skripty a snižuje riziko jejich kompromitace.
Používejte síť pro doručování obsahu (CDN) s podporou CSP: Některé CDN poskytují vestavěnou podporu pro CSP. To může zjednodušit proces implementace a správy CSP pro skripty třetích stran.
Omezte oprávnění skriptů třetích stran: Použijte CSP k omezení oprávnění skriptů třetích stran. Můžete jim například zabránit v přístupu k citlivým datům nebo v odesílání požadavků na neautorizované domény.
Pravidelně kontrolujte skripty třetích stran: Pravidelně kontrolujte skripty třetích stran, které používáte na své webové stránce, abyste se ujistili, že jsou stále bezpečné a důvěryhodné.

Pokročilé techniky CSP

Jakmile máte zavedenou základní politiku CSP, můžete prozkoumat některé pokročilé techniky k dalšímu posílení bezpečnosti vaší webové stránky:

Používání nonces pro inline skripty a styly: Jak bylo zmíněno dříve, nonces jsou kryptograficky náhodné hodnoty, které můžete použít k whitelistování konkrétních bloků inline kódu. Chcete-li použít nonces, musíte pro každý požadavek vygenerovat jedinečný nonce a zahrnout ho jak do hlavičky CSP, tak do inline kódu.
Používání hashů pro inline obslužné rutiny událostí: Direktiva 'unsafe-hashes' vám umožňuje whitelistovat specifické inline obslužné rutiny událostí podle jejich SHA256, SHA384 nebo SHA512 hashů. To může být užitečné pro přechod na CSP bez nutnosti okamžitě přepisovat všechny inline obslužné rutiny událostí.
Používání Trusted Types: Trusted Types je DOM API, které pomáhá předcházet zranitelnostem DOM-based XSS. Umožňuje vám vytvářet speciální typy objektů, které jsou zaručeně bezpečné pro použití v určitých kontextech.
Používání Feature Policy: Feature Policy (nyní Permissions Policy) vám umožňuje kontrolovat, které funkce prohlížeče jsou dostupné pro vaši webovou stránku. To může pomoci zabránit určitým typům útoků a zlepšit výkon vaší webové stránky.
Používání Subresource Integrity (SRI) se zálohou: Kombinujte SRI se záložním mechanismem. Pokud kontrola SRI selže (např. CDN je mimo provoz), mějte záložní kopii zdroje hostovanou na vašem vlastním serveru.
Dynamická generace CSP: Generujte svou CSP dynamicky na straně serveru na základě relace uživatele, rolí nebo jiných kontextových informací.
CSP a WebSockets: Při používání WebSocketů pečlivě nakonfigurujte direktivu `connect-src`, aby povolovala pouze spojení s důvěryhodnými koncovými body WebSocket.

Globální aspekty implementace CSP

Při implementaci CSP pro globální publikum zvažte následující:

Lokality CDN: Ujistěte se, že vaše síť pro doručování obsahu (CDN) má servery ve více geografických lokalitách, aby poskytovala rychlé a spolehlivé doručování obsahu uživatelům po celém světě. Ověřte, že vaše CDN podporuje CSP a zvládne potřebné hlavičky.
Globální předpisy: Buďte si vědomi předpisů o ochraně osobních údajů, jako je GDPR (Evropa), CCPA (Kalifornie) a další regionální zákony. Zajistěte, aby vaše implementace CSP byla v souladu s těmito předpisy, zejména při zpracování hlášení o porušení.
Lokalizace: Zvažte, jak může CSP ovlivnit lokalizovaný obsah. Pokud máte různé skripty nebo styly pro různé jazyky nebo regiony, zajistěte, aby vaše politika CSP tyto variace zohledňovala.
Internacionalizované názvy domén (IDN): Pokud vaše webová stránka používá IDN, ujistěte se, že vaše politika CSP správně zpracovává tyto domény. Buďte si vědomi potenciálních problémů s kódováním nebo nekonzistencí prohlížečů.
Cross-Origin Resource Sharing (CORS): CSP pracuje ve spojení s CORS. Pokud provádíte požadavky mezi různými původy, ujistěte se, že vaše konfigurace CORS je kompatibilní s vaší politikou CSP.
Regionální bezpečnostní standardy: Některé regiony mohou mít specifické bezpečnostní standardy nebo požadavky. Prozkoumejte a dodržujte tyto standardy při implementaci CSP pro uživatele v těchto regionech.
Kulturní aspekty: Mějte na paměti kulturní rozdíly v tom, jak jsou webové stránky používány a jak se k nim přistupuje. Přizpůsobte svou implementaci CSP tak, aby řešila potenciální bezpečnostní rizika specifická pro určité regiony nebo demografické skupiny.
Dostupnost: Zajistěte, aby vaše implementace CSP negativně neovlivnila dostupnost vaší webové stránky. Například neblokujte nezbytné skripty nebo styly, které jsou vyžadovány pro čtečky obrazovky nebo jiné asistenční technologie.
Testování napříč regiony: Důkladně otestujte svou implementaci CSP v různých geografických regionech a prohlížečích, abyste identifikovali a vyřešili případné problémy.

Řešení problémů s CSP

Implementace CSP může být někdy náročná a můžete se setkat s problémy. Zde jsou některé běžné problémy a jak je řešit:

Webová stránka se po povolení CSP rozbije: To je často způsobeno příliš omezující politikou. Použijte vývojářské nástroje prohlížeče k identifikaci zdrojů, které jsou blokovány, a podle toho upravte svou politiku.
Hlášení o porušení CSP nejsou přijímána: Zkontrolujte konfiguraci serveru, abyste se ujistili, že koncový bod report-uri (nebo `report-to`) je správně nakonfigurován a že váš server správně zpracovává požadavky POST. Také ověřte, že prohlížeč skutečně odesílá hlášení (můžete použít vývojářské nástroje ke kontrole síťového provozu).
Potíže s inline skripty a styly: Pokud máte problémy s inline skripty a styly, zvažte použití nonces nebo hashů k jejich whitelistování. Alternativně zkuste přesunout kód do externích souborů.
Problémy se skripty třetích stran: Použijte SRI k ověření integrity skriptů třetích stran. Pokud máte stále problémy, zkuste hostovat skripty lokálně nebo kontaktujte poskytovatele třetí strany o pomoc.
Problémy s kompatibilitou prohlížečů: CSP je podporováno většinou moderních prohlížečů, ale mohou se vyskytnout problémy s kompatibilitou u starších prohlížečů. Otestujte svou politiku v různých prohlížečích, aby fungovala podle očekávání.
Konflikty politik CSP: Pokud používáte více politik CSP (např. z různých pluginů nebo rozšíření), mohou si navzájem odporovat. Zkuste zakázat pluginy nebo rozšíření, abyste zjistili, zda to problém nevyřeší.

Závěr

Content Security Policy je mocný nástroj pro posílení bezpečnosti vaší webové stránky a ochranu vašich uživatelů před různými hrozbami. Správnou implementací CSP a dodržováním osvědčených postupů můžete výrazně snížit riziko útoků XSS, clickjackingu a dalších zranitelností. Ačkoli implementace CSP může být složitá, výhody, které nabízí v oblasti bezpečnosti a důvěry uživatelů, za tu námahu stojí. Nezapomeňte začít s přísnou politikou, důkladně testovat a neustále sledovat a zpřesňovat svou politiku, aby zůstala účinná. Jak se web vyvíjí a objevují se nové hrozby, CSP bude i nadále nezbytnou součástí komplexní strategie webové bezpečnosti.