Trusted Types API: Posílení bezpečnosti prostřednictvím bezpečné manipulace s DOM

V neustálém boji proti webovým zranitelnostem zůstávají útoky Cross-Site Scripting (XSS) trvalou hrozbou. Tyto útoky zneužívají zranitelnosti ve webových aplikacích k vkládání škodlivých skriptů do důvěryhodných webových stránek, což útočníkům umožňuje krást citlivá data, poškozovat webové stránky nebo přesměrovávat uživatele na škodlivé weby. V boji proti tomu se objevuje Trusted Types API jako silný obranný mechanismus, který podporuje bezpečnou manipulaci s DOM a výrazně snižuje riziko zranitelností XSS.

Porozumění Cross-Site Scripting (XSS)

K útokům XSS dochází, když jsou data dodaná uživatelem nesprávně začleněna do výstupu webové stránky bez řádné sanitizace nebo kódování. Existují tři hlavní typy XSS:

• Uložený XSS (Stored XSS): Škodlivý skript je trvale uložen na cílovém serveru (např. v databázi, příspěvku na fóru nebo v sekci komentářů). Když ostatní uživatelé přistoupí k uloženým datům, skript se spustí v jejich prohlížečích.
• Odražený XSS (Reflected XSS): Škodlivý skript je vložen do URL nebo odeslaného formuláře a okamžitě se odrazí zpět uživateli v odpovědi. To obvykle zahrnuje oklamání uživatele, aby kliknul na škodlivý odkaz.
• XSS založený na DOM (DOM-based XSS): Škodlivý skript zneužívá zranitelnosti v samotném JavaScriptovém kódu na straně klienta, místo aby se spoléhal na ukládání dat nebo jejich odražení na straně serveru. To často zahrnuje přímou manipulaci s Document Object Model (DOM).

Tradičně se vývojáři spoléhali na validaci vstupů a kódování výstupů, aby zabránili útokům XSS. Ačkoliv jsou tyto techniky nezbytné, jejich správná implementace může být složitá a často náchylná k chybám. Trusted Types API poskytuje robustnější a pro vývojáře přívětivější přístup tím, že vynucuje bezpečné postupy kódování na úrovni DOM.

Představení Trusted Types API

Trusted Types API, bezpečnostní funkce webové platformy, pomáhá vývojářům psát bezpečnější webové aplikace omezením používání potenciálně nebezpečných metod manipulace s DOM. Vynucuje pravidlo, že DOM XSS sinks (místa, kde může dojít k vložení skriptu) mohou přijímat pouze hodnoty, které byly explicitně sanitizovány a zabaleny do "důvěryhodného typu" (Trusted Type). Tím v podstatě vytváří typový systém pro řetězce používané k manipulaci s DOM, kde nedůvěryhodná data nemohou být přímo předána těmto sinks.

Klíčové pojmy:

• DOM XSS Sinks: Jedná se o vlastnosti a metody, které se nejčastěji používají k vkládání skriptů na stránku. Příklady zahrnují innerHTML, outerHTML, src, href a document.write.
• Důvěryhodné typy (Trusted Types): Jsou to speciální obalové objekty, které označují, že řetězec byl pečlivě prozkoumán a je bezpečné ho použít v DOM XSS sink. API poskytuje několik vestavěných důvěryhodných typů, jako jsou TrustedHTML, TrustedScript a TrustedScriptURL.
• Zásady typů (Type Policies): Jsou to pravidla, která definují, jak lze důvěryhodné typy vytvářet a používat. Specifikují, které funkce mohou vytvářet důvěryhodné typy a jak jsou podkladové řetězce sanitizovány nebo validovány.

Jak Trusted Types fungují

Základním principem Trusted Types je zabránit vývojářům v přímém předávání nedůvěryhodných řetězců do DOM XSS sinks. Když jsou Trusted Types povoleny, prohlížeč vyvolá chybu TypeError, pokud je běžný řetězec použit na místě, kde se očekává důvěryhodný typ.

Pro použití Trusted Types musíte nejprve definovat zásadu typu (type policy). Zásada typu je JavaScriptový objekt, který specifikuje, jak lze důvěryhodné typy vytvářet. Například:

if (window.trustedTypes && window.trustedTypes.createPolicy) {
  window.myPolicy = trustedTypes.createPolicy('myPolicy', {
    createHTML: function(input) {
      // Zde sanitizujte vstup. Toto je zástupný symbol; použijte skutečnou sanitizační knihovnu.
      let sanitized = DOMPurify.sanitize(input); // Příklad s použitím DOMPurify
      return sanitized;
    },
    createScriptURL: function(input) {
      // Zde validujte vstup, abyste se ujistili, že jde o bezpečnou URL.
      if (input.startsWith('https://example.com/')) {
        return input;
      } else {
        throw new Error('Nedůvěryhodná URL: ' + input);
      }
    },
    createScript: function(input) {
         //Při vytváření skriptu buďte velmi opatrní, dělejte to jen pokud víte, co děláte
         return input;
    }
  });
}

V tomto příkladu vytváříme zásadu typu s názvem "myPolicy" se třemi funkcemi: createHTML, createScriptURL a createScript. Funkce createHTML sanitizuje vstupní řetězec pomocí sanitizační knihovny jako je DOMPurify. Funkce createScriptURL validuje vstup, aby se zajistilo, že jde o bezpečnou URL. Funkce createScript by se měla používat s extrémní opatrností, ideálně by se jí mělo vyhnout, pokud je to možné, protože umožňuje spuštění libovolného skriptu.

Jakmile je zásada typu vytvořena, můžete ji použít k vytvoření důvěryhodných typů:

let untrustedHTML = '';
let trustedHTML = myPolicy.createHTML(untrustedHTML);

document.getElementById('myElement').innerHTML = trustedHTML;

V tomto příkladu předáváme nedůvěryhodný HTML řetězec funkci createHTML naší zásady typu. Funkce sanitizuje řetězec a vrací objekt TrustedHTML. Poté můžeme tento objekt TrustedHTML bezpečně přiřadit vlastnosti innerHTML prvku, aniž bychom riskovali útok XSS.

Výhody používání Trusted Types

• Zvýšená bezpečnost: Trusted Types výrazně snižují riziko útoků XSS tím, že brání vývojářům v přímém předávání nedůvěryhodných řetězců do DOM XSS sinks.
• Zlepšená kvalita kódu: Trusted Types povzbuzují vývojáře, aby pečlivěji přemýšleli o sanitizaci a validaci dat, což vede ke zlepšení kvality kódu a bezpečnostních postupů.
• Zjednodušené bezpečnostní revize: Trusted Types usnadňují identifikaci a revizi potenciálních zranitelností XSS v kódu, protože použití DOM XSS sinks je explicitně kontrolováno zásadami typů.
• Kompatibilita s CSP: Trusted Types lze používat ve spojení s Content Security Policy (CSP) k dalšímu posílení bezpečnosti webových aplikací.

Aspekty implementace

Implementace Trusted Types vyžaduje pečlivé plánování a provedení. Zde jsou některé důležité aspekty:

• Identifikujte DOM XSS Sinks: Prvním krokem je identifikovat všechny DOM XSS sinks ve vaší aplikaci. Jedná se o vlastnosti a metody, které se používají k manipulaci s DOM a které by mohly být potenciálně zneužity útoky XSS.
• Vyberte sanitizační knihovnu: Zvolte renomovanou a dobře udržovanou sanitizační knihovnu k sanitizaci nedůvěryhodných dat před vytvořením důvěryhodných typů. DOMPurify je populární a efektivní volba. Ujistěte se, že ji správně nakonfigurujete pro vaše specifické potřeby.
• Definujte zásady typů: Vytvořte zásady typů, které specifikují, jak lze důvěryhodné typy vytvářet a používat. Pečlivě zvažte logiku sanitizace a validace ve vašich zásadách typů, abyste zajistili jejich účinnost v prevenci útoků XSS.
• Aktualizujte kód: Aktualizujte svůj kód tak, aby používal Trusted Types vždy, když manipulujete s DOM s potenciálně nedůvěryhodnými daty. Nahraďte přímá přiřazení do DOM XSS sinks přiřazením důvěryhodných typů.
• Důkladně testujte: Po implementaci Trusted Types důkladně otestujte svou aplikaci, abyste se ujistili, že funguje správně a že nedošlo k žádným regresím. Věnujte zvláštní pozornost oblastem, kde manipulujete s DOM.
• Strategie migrace: Implementace Trusted Types na rozsáhlé, existující kódové bázi může být náročná. Zvažte postupnou strategii migrace, začněte s nejkritičtějšími oblastmi vaší aplikace. Můžete zpočátku povolit Trusted Types v režimu "pouze hlášení" (report-only), abyste identifikovali porušení, aniž byste poškodili funkčnost aplikace.

Příklady scénářů

Podívejme se na několik praktických příkladů, jak lze Trusted Types použít v různých scénářích:

Scénář 1: Zobrazování obsahu generovaného uživateli

Webová stránka umožňuje uživatelům odesílat komentáře a příspěvky. Bez Trusted Types by zobrazování tohoto obsahu mohlo být zranitelné vůči útokům XSS. Pomocí Trusted Types můžete sanitizovat obsah generovaný uživateli před jeho zobrazením a zajistit tak odstranění jakýchkoli škodlivých skriptů.

// Před Trusted Types:
// document.getElementById('comments').innerHTML = userComment; // Zranitelné vůči XSS

// Po Trusted Types:
let trustedHTML = myPolicy.createHTML(userComment);
document.getElementById('comments').innerHTML = trustedHTML;

Scénář 2: Načítání externích JavaScriptových souborů

Webová stránka dynamicky načítá JavaScriptové soubory z externích zdrojů. Bez Trusted Types by škodlivý útočník mohl potenciálně nahradit jeden z těchto souborů svým vlastním škodlivým skriptem. Pomocí Trusted Types můžete validovat URL skriptového souboru před jeho načtením a zajistit tak, že pochází z důvěryhodného zdroje.

// Před Trusted Types:
// let script = document.createElement('script');
// script.src = untrustedURL; // Zranitelné vůči XSS
// document.head.appendChild(script);

// Po Trusted Types:
let trustedScriptURL = myPolicy.createScriptURL(untrustedURL);
let script = document.createElement('script');
script.src = trustedScriptURL;
document.head.appendChild(script);

Scénář 3: Nastavování atributů prvků

Webová stránka nastavuje atributy prvků DOM na základě vstupu od uživatele. Například nastavení atributu `href` u značky odkazu. Bez Trusted Types by škodlivý útočník mohl vložit JavaScript URI, což by vedlo k XSS. S Trusted Types můžete validovat URL před nastavením atributu.

// Před Trusted Types:
// anchorElement.href = userInputURL; // Zranitelné vůči XSS

// Po Trusted Types:
let trustedURL = myPolicy.createScriptURL(userInputURL);
anchorElement.href = trustedURL;

Trusted Types a Content Security Policy (CSP)

Trusted Types dobře fungují ve spojení s Content Security Policy (CSP) a poskytují tak hloubkovou obranu proti útokům XSS. CSP je bezpečnostní mechanismus, který vám umožňuje specifikovat, které zdroje obsahu je povoleno na vaší webové stránce načítat. Kombinací Trusted Types s CSP můžete vytvořit vysoce bezpečnou webovou aplikaci.

Pro povolení Trusted Types v CSP můžete použít direktivu require-trusted-types-for. Tato direktiva specifikuje, že Trusted Types jsou vyžadovány pro všechny DOM XSS sinks. Například:

Content-Security-Policy: require-trusted-types-for 'script'; trusted-types myPolicy;

Tato CSP hlavička říká prohlížeči, aby vyžadoval Trusted Types pro všechna spuštění skriptů a aby povolil pouze Trusted Types vytvořené zásadou typu "myPolicy".

Podpora prohlížečů a polyfilly

Podpora Trusted Types v prohlížečích roste, ale ještě není všeobecně dostupná. Koncem roku 2024 mají hlavní prohlížeče jako Chrome, Firefox a Edge dobrou podporu. Podpora v Safari zaostává. Aktuální informace o kompatibilitě prohlížečů naleznete na CanIUse.com.

Pro starší prohlížeče, které nativně nepodporují Trusted Types, můžete použít polyfill. Polyfill je kus JavaScriptového kódu, který poskytuje funkcionalitu novější funkce ve starších prohlížečích. Je k dispozici několik polyfillů pro Trusted Types, například ten od Googlu. Polyfilly však neposkytují stejnou úroveň zabezpečení jako nativní podpora. Pomáhají hlavně s kompatibilitou a umožňují vám začít používat API, i když někteří vaši uživatelé používají starší prohlížeče.

Alternativy a úvahy

Ačkoliv Trusted Types nabízejí významné posílení bezpečnosti, je důležité si uvědomit alternativní přístupy a scénáře, kde nemusí být ideálním řešením:

• Integrace s frameworky: Moderní JavaScriptové frameworky jako React, Angular a Vue.js často zpracovávají manipulaci s DOM způsobem, který zmírňuje rizika XSS. Tyto frameworky obvykle standardně escapují data a podporují používání bezpečných vzorů kódování. Avšak i s frameworky je stále možné zavést zranitelnosti XSS, pokud obejdete vestavěnou ochranu frameworku nebo nesprávně použijete funkce jako dangerouslySetInnerHTML (React) a podobné.
• Striktní validace vstupu a kódování výstupu: Tradiční metody validace vstupu a kódování výstupu zůstávají klíčové. Trusted Types tyto techniky doplňují, nenahrazují je. Validace vstupu zajišťuje, že data vstupující do vaší aplikace jsou dobře formátovaná a dodržují očekávané formáty. Kódování výstupu zajišťuje, že data jsou při zobrazení na stránce správně escapována, což brání prohlížečům v jejich interpretaci jako kódu.
• Výkonnostní režie: I když je obecně minimální, může docházet k mírné výkonnostní režii spojené s procesy sanitizace a validace, které Trusted Types vyžadují. Je nezbytné profilovat vaši aplikaci, abyste identifikovali případné výkonnostní úzké hrdlo a odpovídajícím způsobem optimalizovali.
• Zátěž spojená s údržbou: Implementace a údržba Trusted Types vyžaduje solidní porozumění struktuře DOM vaší aplikace a toku dat. Vytváření a správa zásad typů může zvýšit zátěž spojenou s údržbou.

Příklady z praxe a případové studie

Několik organizací úspěšně implementovalo Trusted Types ke zlepšení bezpečnosti svých webových aplikací. Například Google rozsáhle používá Trusted Types ve svých produktech a službách. I další společnosti ve finančním a e-commerce sektoru, kde je bezpečnost prvořadá, přecházejí na Trusted Types, aby ochránily citlivá uživatelská data a zabránily finančním podvodům. Tyto příklady z praxe demonstrují účinnost Trusted Types při zmírňování rizik XSS v komplexních a vysoce rizikových prostředích.

Závěr

Trusted Types API představuje významný krok vpřed v bezpečnosti webových aplikací a poskytuje robustní a pro vývojáře přívětivý mechanismus pro prevenci útoků XSS. Vynucováním bezpečných postupů manipulace s DOM a podporou pečlivé sanitizace a validace dat umožňují Trusted Types vývojářům vytvářet bezpečnější a spolehlivější webové aplikace. Ačkoliv implementace Trusted Types vyžaduje pečlivé plánování a provedení, přínosy v podobě zvýšené bezpečnosti a zlepšené kvality kódu za tu námahu stojí. S rostoucí podporou Trusted Types v prohlížečích se pravděpodobně stanou stále důležitějším nástrojem v boji proti webovým zranitelnostem.

Pro globální publikum není přijetí osvědčených bezpečnostních postupů, jako je používání Trusted Types, jen o ochraně jednotlivých aplikací, ale o podpoře bezpečnějšího a důvěryhodnějšího webu pro všechny. To je obzvláště důležité v globalizovaném světě, kde data proudí přes hranice a narušení bezpečnosti může mít dalekosáhlé důsledky. Ať už jste vývojář v Tokiu, bezpečnostní profesionál v Londýně nebo majitel firmy v São Paulu, porozumění a implementace technologií jako Trusted Types je nezbytná pro budování bezpečného a odolného digitálního ekosystému.