Veebiturbe päised: sisuturbe poliitika ja JavaScripti käivitamine

Tänapäeva keerulisel digitaalsel maastikul on veebirakenduste turvalisus esmatähtis. Üks tõhusamaid kaitsemeetmeid erinevate rünnakute, eriti saidiülese skriptimise (XSS) vastu, on veebiturbe päiste kasutamine. Nende hulgas paistab sisuturbe poliitika (CSP) silma võimsa mehhanismina, mis kontrollib, milliseid ressursse brauseril on lubatud antud lehe jaoks laadida. See artikkel annab põhjaliku juhendi CSP mõistmiseks ja tõhusaks rakendamiseks, et kaitsta oma veebirakendusi ja kasutajaid.

Veebiturbe päiste mõistmine

Veebiturbe päised on HTTP vastuse päised, mis annavad brauserile juhiseid, kuidas teatud tüüpi sisu käsitlemisel käituda. Need on sügavuti kaitse strateegia oluline osa, töötades koos teiste turvameetmetega riskide leevendamiseks.

Mõned kõige sagedamini kasutatavad veebiturbe päised on:

• Sisuturbe poliitika (CSP): Kontrollib ressursse, mida kasutajaagendil on lubatud laadida.
• HTTP range transporditurve (HSTS): Sunnib brausereid kasutama HTTPS-i.
• X-Frame-Options: Kaitseb Clickjacking'u rünnakute eest.
• X-Content-Type-Options: Hoiab ära MIME-nuuskimise haavatavused.
• Referrer-Policy: Kontrollib, kui palju viiteteavet tuleks päringutega kaasa lisada.
• Permissions-Policy (varem Feature-Policy): Võimaldab brauseri funktsioonide üle peeneteralist kontrolli.

See artikkel keskendub peamiselt sisuturbe poliitikale (CSP) ja selle mõjule JavaScripti käivitamisel.

Mis on sisuturbe poliitika (CSP)?

CSP on HTTP vastuse päis, mis võimaldab teil määratleda lubatud allikate loendi, kust brauseril on lubatud ressursse laadida. See hõlmab JavaScripti, CSS-i, pilte, fonte ja muid varasid. Nende usaldusväärsete allikate selgesõnalise määratlemisega saate oluliselt vähendada XSS-rünnakute riski, kus pahatahtlikud skriptid süstitakse teie veebisaidile ja käivitatakse teie kasutajate brauserite kontekstis.

Mõelge CSP-st kui tulemüürist oma brauserile, kuid võrguliikluse blokeerimise asemel blokeerib see ebausaldusväärse koodi käivitamise.

Miks on CSP JavaScripti käivitamiseks oluline?

JavaScript on võimas keel, mida saab kasutada dünaamiliste ja interaktiivsete veebikogemuste loomiseks. Kuid selle paindlikkus muudab selle ka ründajate peamiseks sihtmärgiks. XSS-rünnakud hõlmavad sageli pahatahtliku JavaScripti koodi süstimist veebisaidile, mida saab seejärel kasutada kasutajate sisselogimisandmete varastamiseks, kasutajate suunamiseks andmepüügisaitidele või veebisaidi rikkumiseks.

CSP suudab neid rünnakuid tõhusalt ennetada, piirates allikaid, kust JavaScripti saab laadida ja käivitada. Vaikimisi blokeerib CSP kogu tekstisisese JavaScripti (kood <script> siltide sees) ja välisdomeenidest laaditud JavaScripti. Seejärel saate CSP direktiivide abil valikuliselt lubada usaldusväärseid allikaid.

CSP direktiivid: teie poliitika ehituskivid

CSP direktiivid määratlevad, milliseid ressursitüüpe on lubatud laadida ja millistest allikatest neid saab laadida. Siin on mõned kõige olulisemad direktiivid:

• default-src: Toimib varuvariandina teistele toomise direktiividele. Kui konkreetne direktiiv pole määratletud, kasutatakse default-src.
• script-src: Määrab JavaScripti koodi lubatud allikad.
• style-src: Määrab CSS-i stiililehtede lubatud allikad.
• img-src: Määrab piltide lubatud allikad.
• font-src: Määrab fontide lubatud allikad.
• media-src: Määrab heli- ja videofailide lubatud allikad.
• object-src: Määrab pistikprogrammide (nt Flash) lubatud allikad.
• frame-src: Määrab raamide (<frame>, <iframe>) lubatud allikad.
• connect-src: Määrab võrgupäringute (nt XMLHttpRequest, Fetch API, WebSockets) lubatud päritolud.
• base-uri: Piirab URL-e, mida saab kasutada dokumendi <base> elemendis.
• form-action: Piirab URL-e, kuhu vorme saab esitada.
• upgrade-insecure-requests: Annab brauserile korralduse uuendada kõik ebaturvalised URL-id (HTTP) turvalisteks URL-ideks (HTTPS).
• block-all-mixed-content: Takistab brauseril laadimast ühtegi ressurssi HTTP kaudu, kui leht on laaditud HTTPS-i kaudu.

Iga direktiiv võib aktsepteerida mitmesuguseid allikaavaldusi, sealhulgas:

• *: Lubab ressursse mis tahes allikast (üldiselt ei soovitata).
• 'self': Lubab ressursse samast päritolust (skeem, host ja port) kui dokument.
• 'none': Keelab ressursid kõigist allikatest.
• 'unsafe-inline': Lubab kasutada tekstisisest JavaScripti ja CSS-i (tungivalt ei soovitata).
• 'unsafe-eval': Lubab kasutada eval() ja seotud funktsioone (tungivalt ei soovitata).
• 'unsafe-hashes': Lubab konkreetseid tekstisiseseid sündmuste käsitlejaid nende SHA256, SHA384 või SHA512 räsi alusel (kasutada ettevaatlikult).
• data:: Lubab data: URI-sid (nt tekstisisesed pildid, mis on kodeeritud base64-na).
• https://example.com: Lubab ressursse määratud domeenist (ja valikuliselt pordist) HTTPS-i kaudu.
• *.example.com: Lubab ressursse mis tahes alamdomeenist example.com.
• nonce-{juhuslik-väärtus}: Lubab konkreetseid tekstisiseseid skripte või stiile, millel on vastav nonce'i atribuut (soovitatav tekstisisese koodi jaoks).
• sha256-{räsi-väärtus}: Lubab konkreetseid tekstisiseseid skripte või stiile, millel on vastav SHA256 räsi (alternatiiv nonce'idele).

CSP rakendamine: praktilised näited

CSP rakendamiseks on kaks peamist viisi:

1. HTTP päis: Content-Security-Policy päise saatmine HTTP vastuses. See on eelistatud meetod.
2. <meta> silt: <meta> sildi kasutamine HTML-dokumendi <head> jaotises. Sellel meetodil on piiranguid ja seda üldiselt ei soovitata.

HTTP päise kasutamine

CSP päise seadistamiseks peate konfigureerima oma veebiserveri. Täpsed sammud sõltuvad teie serverist (nt Apache, Nginx, IIS).

Siin on mõned näited CSP päistest:

Põhiline CSP

See poliitika lubab ressursse ainult samast päritolust:

            Content-Security-Policy: default-src 'self';
            

              
                Copy
              
            
          

Ressursside lubamine konkreetsetest domeenidest

See poliitika lubab JavaScripti aadressilt https://cdn.example.com ja pilte aadressilt https://images.example.net:

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; img-src 'self' https://images.example.net;
            

              
                Copy
              
            
          

Nonce'ide kasutamine tekstisiseste skriptide jaoks

See poliitika lubab tekstisiseseid skripte, millel on vastav nonce'i atribuut:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3';
            

              
                Copy
              
            
          

Teie HTML-is:

            <script nonce="rAnd0mN0nc3">
 // Teie tekstisisene skript
</script>
            

              
                Copy
              
            
          

Märkus: Nonce'i väärtus tuleks iga päringu jaoks juhuslikult genereerida, et takistada ründajatel CSP-st möödahiilimist.

Räside kasutamine tekstisiseste skriptide jaoks

See poliitika lubab konkreetseid tekstisiseseid skripte nende SHA256 räsi alusel:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=';
            

              
                Copy
              
            
          

SHA256 räsi genereerimiseks võite kasutada mitmesuguseid veebitööriistu või käsurea utiliite (nt openssl dgst -sha256 -binary input.js | openssl base64).

<meta> sildi kasutamine

Kuigi see pole keerukate poliitikate jaoks soovitatav, saab <meta> silti kasutada põhilise CSP seadistamiseks. Näiteks:

            <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
            

              
                Copy
              
            
          

<meta> sildi piirangud:

• Ei saa kasutada report-uri direktiivi määramiseks.
• Ei ole nii laialdaselt toetatud kui HTTP päis.
• Vähem paindlik ja raskem hallata keerukate poliitikate puhul.

CSP ainult raporteerimise režiim

Enne CSP jõustamist on tungivalt soovitatav kasutada Content-Security-Policy-Report-Only päist. See võimaldab teil jälgida oma poliitika mõju ilma tegelikult ühtegi ressurssi blokeerimata. Brauser teatab kõikidest rikkumistest määratud URL-ile, mis võimaldab teil oma poliitikat enne selle tootmisesse viimist peenhäälestada.

            Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report;
            

              
                Copy
              
            
          

Peate konfigureerima serveripoolse lõpp-punkti (nt /csp-report) CSP-aruannete vastuvõtmiseks ja töötlemiseks. Need aruanded on tavaliselt JSON-objektid, mis sisaldavad teavet rikutud direktiivi, blokeeritud URI ja muude asjakohaste üksikasjade kohta.

Levinumad CSP vead ja kuidas neid vältida

CSP rakendamine võib olla keeruline ja on lihtne teha vigu, mis võivad kas nõrgendada teie turvalisust või rikkuda teie veebisaidi. Siin on mõned levinumad lõksud, mida vältida:

• 'unsafe-inline' ja 'unsafe-eval' kasutamine: Need direktiivid keelavad sisuliselt CSP pakutavad kaitsed ja neid tuleks võimaluse korral vältida. Kasutage tekstisiseste skriptide jaoks nonce'e või räsisid ja vältige eval() kasutamist.
• * kasutamine: Ressursside lubamine mis tahes allikast nullib CSP eesmärgi. Olge oma poliitika määratlemisel võimalikult konkreetne.
• Põhjaliku testimise puudumine: Testige oma CSP-d alati ainult raporteerimise režiimis enne selle jõustamist. Jälgige aruandeid ja kohandage oma poliitikat vastavalt vajadusele.
• report-uri vale konfigureerimine: Veenduge, et teie report-uri lõpp-punkt on CSP-aruannete vastuvõtmiseks ja töötlemiseks õigesti konfigureeritud.
• CSP uuendamata jätmine: Teie veebisaidi arenedes võib teie CSP vajada uuendamist, et kajastada muudatusi teie ressursisõltuvustes.
• Liiga piiravad poliitikad: Liiga piiravad poliitikad võivad teie veebisaidi rikkuda ja kasutajaid frustreerida. Leidke tasakaal turvalisuse ja kasutatavuse vahel.

CSP ja kolmandate osapoolte teegid

Paljud veebisaidid tuginevad kolmandate osapoolte teekidele ja teenustele, nagu CDN-id, analüütikapakkujad ja sotsiaalmeedia vidinad. CSP rakendamisel on oluline arvestada nende sõltuvustega ja tagada, et teie poliitika võimaldaks neil ressursse õigesti laadida.

Siin on mõned strateegiad kolmandate osapoolte teekide käsitlemiseks:

• Lisage usaldusväärsete kolmandate osapoolte pakkujate domeenid selgesõnaliselt lubatud loendisse: Näiteks kui kasutate jQuery't CDN-ist, lisage CDN-i domeen oma script-src direktiivi.
• Kasutage alamressursi terviklikkust (SRI): SRI võimaldab teil kontrollida, et kolmandate osapoolte allikatest laaditud faile pole rikutud. SRI kasutamiseks peate genereerima faili krüptograafilise räsi ja lisama selle <script> või <link> sildile.
• Kaaluge kolmandate osapoolte teekide majutamist oma serveris: See annab teile rohkem kontrolli ressursside üle ja vähendab teie sõltuvust välistest pakkujatest.

Näide SRI kasutamisest:

            <script
 src="https://cdn.example.com/jquery.min.js"
 integrity="sha384-vtXRMe3mGCkKsTB9UMvnoknreNzcMRujMQFFSQhtI2zxLlClmHsfq9em6JzhbqQ"
 crossorigin="anonymous"></script>
            

              
                Copy
              
            
          

CSP ja ühe lehe rakendused (SPA-d)

SPA-d tuginevad sageli tugevalt JavaScriptile ja dünaamilisele koodi genereerimisele, mis võib muuta CSP rakendamise keerulisemaks. Siin on mõned näpunäited SPA-de turvamiseks CSP-ga:

• Vältige 'unsafe-eval' kasutamist: SPA-d kasutavad sageli mallimootoreid või muid tehnikaid, mis tuginevad eval() funktsioonile. Selle asemel kaaluge alternatiivsete lähenemisviiside kasutamist, mis ei vaja eval(), näiteks eelkompileeritud malle.
• Kasutage tekstisiseste skriptide jaoks nonce'e või räsisid: SPA-d süstivad sageli JavaScripti koodi dünaamiliselt. Kasutage nonce'e või räsisid tagamaks, et käivitatakse ainult usaldusväärne kood.
• Konfigureerige hoolikalt connect-src direktiivi: SPA-d teevad sageli API-päringuid erinevatele lõpp-punktidele. Veenduge, et lisate lubatud loendisse ainult vajalikud domeenid connect-src direktiivis.
• Kaaluge CSP-teadliku raamistiku kasutamist: Mõned JavaScripti raamistikud pakuvad sisseehitatud tuge CSP-le, muutes turvalise poliitika rakendamise ja haldamise lihtsamaks.

CSP ja rahvusvahelistamine (i18n)

Globaalsele vaatajaskonnale veebirakenduste arendamisel on oluline arvestada CSP mõjuga rahvusvahelistamisele (i18n). Siin on mõned tegurid, mida meeles pidada:

• Sisuedastusvõrgud (CDN-id): Kui kasutate oma veebisaidi varade edastamiseks CDN-i, veenduge, et lisate CDN-i domeenid oma CSP-sse lubatud loendisse. Kaaluge erinevate CDN-ide kasutamist erinevate piirkondade jaoks jõudluse optimeerimiseks.
• Välised fondid: Kui kasutate väliseid fonte (nt Google Fonts), veenduge, et lisate fondipakkujate domeenid oma font-src direktiivi lubatud loendisse.
• Lokaliseeritud sisu: Kui pakute oma veebisaidi erinevaid versioone erinevate keelte või piirkondade jaoks, veenduge, et teie CSP on iga versiooni jaoks õigesti konfigureeritud.
• Kolmandate osapoolte integratsioonid: Kui integreerute kolmandate osapoolte teenustega, mis on spetsiifilised teatud piirkondadele, veenduge, et lisate nende teenuste domeenid oma CSP-sse lubatud loendisse.

CSP parimad tavad: globaalne perspektiiv

Siin on mõned üldised parimad tavad CSP rakendamiseks, võttes arvesse globaalset perspektiivi:

• Alustage piirava poliitikaga: Alustage poliitikaga, mis blokeerib vaikimisi kõik ja seejärel lubage valikuliselt usaldusväärseid allikaid.
• Kasutage esmalt ainult raporteerimise režiimi: Testige oma CSP-d ainult raporteerimise režiimis enne selle jõustamist, et tuvastada võimalikke probleeme.
• Jälgige CSP aruandeid: Vaadake regulaarselt üle CSP aruandeid, et tuvastada võimalikke turvaauke ja täiustada oma poliitikat.
• Kasutage tekstisiseste skriptide jaoks nonce'e või räsisid: Vältige 'unsafe-inline' ja 'unsafe-eval' kasutamist.
• Olge oma allikate loenditega konkreetne: Vältige metamärkide (*) kasutamist, kui see pole absoluutselt vajalik.
• Kasutage kolmandate osapoolte ressursside jaoks alamressursi terviklikkust (SRI): Kontrollige CDN-idest laaditud failide terviklikkust.
• Hoidke oma CSP ajakohasena: Vaadake oma CSP-d regulaarselt üle ja uuendage seda, et kajastada muudatusi oma veebisaidis ja sõltuvustes.
• Harige oma meeskonda: Veenduge, et teie arendajad ja turvameeskond mõistavad CSP tähtsust ja kuidas seda õigesti rakendada.
• Kaaluge CSP generaatori või haldustööriista kasutamist: Need tööriistad aitavad teil oma CSP-d lihtsamini luua ja hallata.
• Dokumenteerige oma CSP: Dokumenteerige oma CSP poliitika ja iga direktiivi põhjendused, et aidata tulevastel arendajatel seda mõista ja hooldada.

Kokkuvõte

Sisuturbe poliitika on võimas vahend XSS-rünnakute leevendamiseks ja teie veebirakenduste turvalisuse parandamiseks. Usaldusväärsete allikate lubatud loendi hoolika määratlemisega saate oluliselt vähendada pahatahtliku koodi käivitamise riski ja kaitsta oma kasutajaid kahju eest. CSP rakendamine võib olla keeruline, kuid järgides selles artiklis kirjeldatud parimaid tavasid ning arvestades oma rakenduse ja globaalse vaatajaskonna spetsiifilisi vajadusi, saate luua tugeva ja tõhusa turvapoliitika, mis kaitseb teie veebisaiti ja kasutajaid kogu maailmas.

Pidage meeles, et turvalisus on pidev protsess ja CSP on vaid üks osa sellest puslest. Kombineerige CSP-d teiste turvameetmetega, nagu sisendi valideerimine, väljundi kodeerimine ja regulaarsed turvaauditid, et luua põhjalik sügavuti kaitse strateegia.

Lisamaterjalid

• Sisuturbe poliitika (CSP) – MDN Web Docs
• CSP hindaja
• Content-Security-Policy.com