Sigurnost preglednika: Dubinski uvid u Content Security Policy (CSP)

U današnjem web okruženju, sigurnost je od najveće važnosti. Web stranice se suočavaju sa stalnim nizom potencijalnih napada, uključujući cross-site scripting (XSS), ubacivanje podataka i clickjacking. Jedna od najučinkovitijih obrana od ovih prijetnji je Content Security Policy (CSP). Ovaj članak pruža sveobuhvatan vodič za CSP, istražujući njegove prednosti, implementaciju i najbolje prakse za osiguranje vaših web aplikacija.

Što je Content Security Policy (CSP)?

Content Security Policy (CSP) je dodatni sloj sigurnosti koji pomaže u otkrivanju i ublažavanju određenih vrsta napada, uključujući Cross Site Scripting (XSS) i napade ubacivanjem podataka. Ovi napadi se koriste za sve, od krađe podataka do oštećivanja web stranica i distribucije zlonamjernog softvera.

CSP je u suštini bijela lista koja pregledniku govori koji su izvori sadržaja sigurni za učitavanje. Definiranjem stroge politike, nalažete pregledniku da ignorira sav sadržaj iz izvora koji nisu izričito odobreni, čime se učinkovito neutraliziraju mnogi XSS napadi.

Zašto je CSP važan?

CSP nudi nekoliko ključnih prednosti:

• Ublažava XSS napade: Kontroliranjem izvora iz kojih preglednik može učitati sadržaj, CSP drastično smanjuje rizik od XSS napada.
• Smanjuje ranjivosti na clickjacking: CSP može pomoći u sprječavanju clickjacking napada kontroliranjem načina na koji se web stranica može uokviriti (frame).
• Forsira HTTPS: CSP može osigurati da se svi resursi učitavaju preko HTTPS-a, sprječavajući napade čovjeka u sredini (man-in-the-middle).
• Smanjuje utjecaj nepouzdanog sadržaja: Čak i ako se nepouzdani sadržaj na neki način ubaci na vašu stranicu, CSP može spriječiti izvršavanje štetnih skripti.
• Pruža izvještavanje: CSP se može konfigurirati za izvještavanje o kršenjima, što vam omogućuje praćenje i poboljšanje vaše sigurnosne politike.

Kako CSP funkcionira

CSP radi dodavanjem HTTP response zaglavlja ili <meta> oznake na vaše web stranice. Ovo zaglavlje/oznaka definira politiku koju preglednik mora primijeniti prilikom učitavanja resursa. Politika se sastoji od niza direktiva, od kojih svaka specificira dopuštene izvore za određenu vrstu resursa (npr. skripte, stilovi, slike, fontovi).

Preglednik zatim primjenjuje ovu politiku blokiranjem svih resursa koji ne odgovaraju dopuštenim izvorima. Kada dođe do kršenja, preglednik ga može opcionalno prijaviti na navedenu URL adresu.

CSP direktive: Sveobuhvatan pregled

CSP direktive su srž politike, definirajući dopuštene izvore za različite vrste resursa. Ovdje je pregled najčešćih i najvažnijih direktiva:

• default-src: Ova direktiva definira zadani izvor za sve vrste resursa koje nisu eksplicitno navedene drugim direktivama. To je dobra polazna točka za osnovnu CSP politiku. Ako je definirana specifičnija direktiva poput `script-src`, ona nadjačava `default-src` direktivu za skripte.
• script-src: Specificira dopuštene izvore za JavaScript. Ovo je jedna od najvažnijih direktiva za sprječavanje XSS napada.
• style-src: Specificira dopuštene izvore za CSS stilove.
• img-src: Specificira dopuštene izvore za slike.
• font-src: Specificira dopuštene izvore za fontove.
• media-src: Specificira dopuštene izvore za <audio>, <video> i <track> elemente.
• object-src: Specificira dopuštene izvore za <object>, <embed> i <applet> elemente. Napomena: Ovi elementi su često izvor sigurnosnih ranjivosti i preporučuje se postaviti ovu vrijednost na 'none' ako je moguće.
• frame-src: Specificira dopuštene izvore za <iframe> elemente.
• connect-src: Specificira dopuštene izvore za XMLHttpRequest, WebSocket i EventSource veze. Ovo je ključno za kontrolu mjesta na koja vaša web stranica može slati podatke.
• base-uri: Specificira dopušteni osnovni URL za dokument.
• form-action: Specificira dopuštene URL-ove na koje se obrasci mogu slati.
• frame-ancestors: Specificira dopuštene izvore koji mogu ugraditi trenutnu stranicu u <frame>, <iframe>, <object> ili <applet>. Ovo se koristi za sprječavanje clickjacking napada.
• upgrade-insecure-requests: Nalaže pregledniku da automatski nadogradi sve nesigurne (HTTP) zahtjeve na sigurne (HTTPS) zahtjeve. Ovo je važno za osiguravanje da se svi podaci prenose sigurno.
• block-all-mixed-content: Sprječava preglednik da učitava bilo kakve resurse preko HTTP-a kada je stranica učitana preko HTTPS-a. Ovo je agresivnija verzija upgrade-insecure-requests.
• report-uri: Specificira URL na koji preglednik treba slati izvještaje o kršenjima. To vam omogućuje praćenje i poboljšanje vaše CSP politike. *Zastarjelo, zamijenjeno s `report-to`*
• report-to: Specificira naziv grupe definiran u `Report-To` HTTP zaglavlju, gdje preglednik treba slati izvještaje o kršenjima. Ova direktiva zahtijeva da je `Report-To` zaglavlje ispravno konfigurirano.
• require-trusted-types-for: Omogućuje Trusted Types, DOM API koji pomaže u sprječavanju DOM-based XSS ranjivosti. Zahtijeva specifične Trusted Types implementacije i konfiguracije.
• trusted-types: Definira popis Trusted Types politika kojima je dopušteno stvarati "sinks".

Ključne riječi za izvore

Osim URL-ova, CSP direktive mogu koristiti nekoliko ključnih riječi za definiranje dopuštenih izvora:

• 'self': Dopušta sadržaj s iste ishodišne domene (shema i domena) kao i zaštićeni dokument.
• 'unsafe-inline': Dopušta korištenje inline JavaScripta i CSS-a. Koristite s iznimnim oprezom, jer značajno slabi CSP i može ponovno uvesti XSS ranjivosti. Izbjegavajte ako je moguće.
• 'unsafe-eval': Dopušta korištenje funkcija za dinamičku evaluaciju JavaScripta poput eval() i Function(). Također koristite s oprezom, jer slabi CSP. Razmislite o alternativama poput template literala.
• 'unsafe-hashes': Dopušta specifične inline rukovatelje događajima (event handlers) stavljanjem njihovih SHA256, SHA384 ili SHA512 hash-eva na bijelu listu. Korisno za prijelaz na CSP bez trenutnog prepisivanja svih inline rukovatelja događajima.
• 'none': Ne dopušta sadržaj iz bilo kojeg izvora.
• 'strict-dynamic': Dopušta skriptama koje su učitale pouzdane skripte da učitaju daljnje skripte, čak i ako te skripte inače ne bi bile dopuštene politikom. Korisno za moderne JavaScript okvire.
• 'report-sample': Nalaže pregledniku da uključi uzorak koda koji krši pravila u izvještaj o kršenju. Korisno za otklanjanje grešaka u CSP-u.
• data:: Dopušta učitavanje resursa s data: URL-ova (npr. ugrađene slike). Koristite s oprezom.
• mediastream:: Dopušta učitavanje resursa s mediastream: URL-ova (npr. web kamera ili mikrofon).
• blob:: Dopušta učitavanje resursa s blob: URL-ova (npr. dinamički stvoreni objekti).
• filesystem:: Dopušta učitavanje resursa s filesystem: URL-ova (npr. pristup lokalnom datotečnom sustavu).

Implementacija CSP-a: Praktični primjeri

Postoje dva osnovna načina za implementaciju CSP-a:

1. HTTP Response zaglavlje: Ovo je preporučeni pristup jer pruža veću fleksibilnost i kontrolu.
2. <meta> oznaka: Ovo je jednostavniji pristup, ali ima ograničenja (npr. ne može se koristiti s frame-ancestors).

Primjer 1: HTTP Response zaglavlje

Da biste postavili CSP zaglavlje, morate konfigurirati svoj web poslužitelj (npr. Apache, Nginx, IIS). Specifična konfiguracija ovisit će o vašem poslužiteljskom softveru.

Evo primjera CSP zaglavlja:

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report

Objašnjenje:

• default-src 'self': Prema zadanim postavkama dopušta resurse s iste ishodišne domene.
• script-src 'self' https://example.com: Dopušta JavaScript s iste ishodišne domene i s https://example.com.
• style-src 'self' 'unsafe-inline': Dopušta CSS s iste ishodišne domene i inline stilove (koristite s oprezom).
• img-src 'self' data:: Dopušta slike s iste ishodišne domene i data URL-ove.
• report-uri /csp-report: Šalje izvještaje o kršenjima na /csp-report krajnju točku na vašem poslužitelju.

Primjer 2: <meta> oznaka

Također možete koristiti <meta> oznaku za definiranje CSP politike:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:">

Napomena: Pristup s <meta> oznakom ima ograničenja. Na primjer, ne može se koristiti za definiranje frame-ancestors direktive, koja je važna za sprječavanje clickjacking napada.

CSP u načinu samo za izvještavanje (Report-Only)

Prije primjene CSP politike, preporučuje se testirati je u načinu samo za izvještavanje. To vam omogućuje praćenje kršenja bez blokiranja bilo kakvih resursa.

Da biste omogućili način samo za izvještavanje, koristite Content-Security-Policy-Report-Only zaglavlje umjesto Content-Security-Policy:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://example.com; report-uri /csp-report

U načinu samo za izvještavanje, preglednik će slati izvještaje o kršenjima na navedenu URL adresu, ali neće blokirati nijedan resurs. To vam omogućuje da identificirate i popravite sve probleme s vašom politikom prije nego što je primijenite.

Postavljanje krajnje točke za Report URI

Direktiva report-uri (zastarjelo, koristite `report-to`) specificira URL na koji preglednik treba slati izvještaje o kršenjima. Morate postaviti krajnju točku na svom poslužitelju za primanje i obradu tih izvještaja. Ovi se izvještaji šalju kao JSON podaci u tijelu POST zahtjeva.

Evo pojednostavljenog primjera kako biste mogli rukovati CSP izvještajima u Node.js-u:

const express = require('express');
const bodyParser = require('body-parser');
const app = express();
const port = 3000;

app.use(bodyParser.json({ type: 'application/csp-report' }));

app.post('/csp-report', (req, res) => {
 console.log('Izvještaj o kršenju CSP-a:', JSON.stringify(req.body, null, 2));
 res.status(204).end(); // Odgovori sa 204 No Content
});

app.listen(port, () => {
 console.log(`Poslužitelj za CSP izvještaje sluša na http://localhost:${port}`);
});

Ovaj kod postavlja jednostavan poslužitelj koji sluša POST zahtjeve na /csp-report krajnjoj točki. Kada se primi izvještaj, on ga ispisuje u konzolu. U stvarnoj aplikaciji, vjerojatno biste htjeli pohraniti ove izvještaje u bazu podataka za analizu.

Kada koristite `report-to`, također trebate konfigurirati `Report-To` HTTP zaglavlje. Ovo zaglavlje definira krajnje točke za izvještavanje i njihova svojstva.

Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"https://example.com/csp-report"}],"include_subdomains":true}

Zatim, u svom CSP zaglavlju, koristili biste:

Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

Najbolje prakse za CSP

Evo nekoliko najboljih praksi koje treba slijediti pri implementaciji CSP-a:

• Počnite sa strogom politikom: Započnite s restriktivnom politikom i postupno je ublažavajte prema potrebi. To će vam pomoći da rano identificirate i riješite potencijalne sigurnosne ranjivosti.
• Koristite nonce-ove ili hash-eve za inline skripte i stilove: Ako morate koristiti inline skripte ili stilove, koristite nonce-ove (kriptografski slučajne vrijednosti) ili hash-eve da biste stavili na bijelu listu određene blokove koda. To je sigurnije od korištenja 'unsafe-inline'.
• Izbjegavajte 'unsafe-eval': Direktiva 'unsafe-eval' dopušta korištenje funkcija za dinamičku evaluaciju JavaScripta, što može biti veliki sigurnosni rizik. Izbjegavajte korištenje ove direktive ako je moguće. Razmislite o korištenju template literala ili drugih alternativa.
• Koristite HTTPS za sve resurse: Osigurajte da se svi resursi učitavaju preko HTTPS-a kako biste spriječili napade čovjeka u sredini. Koristite upgrade-insecure-requests direktivu za automatsku nadogradnju nesigurnih zahtjeva.
• Pratite i poboljšavajte svoju politiku: Redovito pratite izvještaje o kršenju CSP-a i poboljšavajte svoju politiku prema potrebi. To će vam pomoći da identificirate i riješite sve probleme i osigurate da vaša politika ostane učinkovita.
• Razmislite o korištenju CSP generatora: Nekoliko online alata može vam pomoći generirati CSP politiku na temelju zahtjeva vaše web stranice. Ovi alati mogu pojednostaviti proces stvaranja snažne i učinkovite politike.
• Temeljito testirajte: Prije primjene vaše CSP politike, temeljito je testirajte u načinu samo za izvještavanje kako biste osigurali da ne narušava funkcionalnost vaše web stranice.
• Koristite framework ili biblioteku: Neki web razvojni okviri i biblioteke pružaju ugrađenu podršku za CSP. Korištenje ovih alata može pojednostaviti proces implementacije i upravljanja vašom CSP politikom.
• Budite svjesni kompatibilnosti preglednika: CSP je podržan od strane većine modernih preglednika, ali mogu postojati neki problemi s kompatibilnošću sa starijim preglednicima. Obavezno testirajte svoju politiku u različitim preglednicima kako biste osigurali da radi kako se očekuje.
• Educirajte svoj tim: Pobrinite se da vaš razvojni tim razumije važnost CSP-a i kako ga ispravno implementirati. To će pomoći osigurati da je CSP pravilno implementiran i održavan tijekom cijelog razvojnog ciklusa.

CSP i skripte trećih strana

Jedan od najvećih izazova u implementaciji CSP-a je rad sa skriptama trećih strana. Mnoge web stranice se oslanjaju na usluge trećih strana za analitiku, oglašavanje i druge funkcionalnosti. Ove skripte mogu uvesti sigurnosne ranjivosti ako se ne upravljaju pravilno.

Evo nekoliko savjeta za upravljanje skriptama trećih strana pomoću CSP-a:

• Koristite Subresource Integrity (SRI): SRI vam omogućuje da provjerite da skripte trećih strana nisu neovlašteno mijenjane. Kada uključite skriptu treće strane, uključite integrity atribut s hashom skripte. Preglednik će tada provjeriti odgovara li skripta hashu prije nego što je izvrši.
• Hostirajte skripte trećih strana lokalno: Ako je moguće, hostirajte skripte trećih strana lokalno na svom poslužitelju. To vam daje veću kontrolu nad skriptama i smanjuje rizik od njihovog kompromitiranja.
• Koristite Content Delivery Network (CDN) s podrškom za CSP: Neki CDN-ovi pružaju ugrađenu podršku za CSP. To može pojednostaviti proces implementacije i upravljanja CSP-om za skripte trećih strana.
• Ograničite dopuštenja skripti trećih strana: Koristite CSP da biste ograničili dopuštenja skripti trećih strana. Na primjer, možete im spriječiti pristup osjetljivim podacima ili slanje zahtjeva na neovlaštene domene.
• Redovito pregledavajte skripte trećih strana: Redovito pregledavajte skripte trećih strana koje koristite na svojoj web stranici kako biste osigurali da su i dalje sigurne i pouzdane.

Napredne CSP tehnike

Nakon što imate osnovnu CSP politiku, možete istražiti neke napredne tehnike za daljnje poboljšanje sigurnosti vaše web stranice:

• Korištenje nonce-ova za inline skripte i stilove: Kao što je ranije spomenuto, nonce-ovi su kriptografski slučajne vrijednosti koje možete koristiti za stavljanje na bijelu listu određenih blokova inline koda. Da biste koristili nonce-ove, trebate generirati jedinstveni nonce za svaki zahtjev i uključiti ga i u CSP zaglavlje i u inline kod.
• Korištenje hash-eva za inline rukovatelje događajima: Direktiva 'unsafe-hashes' omogućuje vam da stavite na bijelu listu specifične inline rukovatelje događajima (event handlers) pomoću njihovih SHA256, SHA384 ili SHA512 hash-eva. Ovo može biti korisno za prijelaz na CSP bez trenutnog prepisivanja svih inline rukovatelja događajima.
• Korištenje Trusted Types: Trusted Types je DOM API koji pomaže u sprječavanju DOM-based XSS ranjivosti. Omogućuje vam stvaranje posebnih vrsta objekata za koje je zajamčeno da su sigurni za korištenje u određenim kontekstima.
• Korištenje Feature Policy: Feature Policy (sada Permissions Policy) omogućuje vam kontrolu nad time koje su značajke preglednika dostupne vašoj web stranici. To može pomoći u sprječavanju određenih vrsta napada i poboljšanju performansi vaše web stranice.
• Korištenje Subresource Integrity (SRI) s rezervnom opcijom: Kombinirajte SRI s rezervnim mehanizmom. Ako SRI provjera ne uspije (npr. CDN je nedostupan), imajte rezervnu kopiju resursa hostiranu na vlastitom poslužitelju.
• Dinamičko generiranje CSP-a: Generirajte svoj CSP dinamički na strani poslužitelja na temelju korisničke sesije, uloga ili drugih kontekstualnih informacija.
• CSP i WebSockets: Kada koristite WebSockets, pažljivo konfigurirajte connect-src direktivu kako biste dopustili veze samo s pouzdanim WebSocket krajnjim točkama.

Globalna razmatranja za implementaciju CSP-a

Prilikom implementacije CSP-a za globalnu publiku, razmotrite sljedeće:

• Lokacije CDN-a: Osigurajte da vaša mreža za isporuku sadržaja (CDN) ima poslužitelje na više geografskih lokacija kako bi se osigurala brza i pouzdana isporuka sadržaja korisnicima diljem svijeta. Provjerite podržava li vaš CDN CSP i može li rukovati potrebnim zaglavljima.
• Globalni propisi: Budite svjesni propisa o privatnosti podataka kao što su GDPR (Europa), CCPA (Kalifornija) i drugi regionalni zakoni. Osigurajte da vaša implementacija CSP-a bude u skladu s tim propisima, posebno pri rukovanju izvještajima o kršenjima.
• Lokalizacija: Razmislite kako bi CSP mogao utjecati na lokalizirani sadržaj. Ako imate različite skripte ili stilove za različite jezike ili regije, osigurajte da vaša CSP politika prilagođava te varijacije.
• Internacionalizirani nazivi domena (IDN): Ako vaša web stranica koristi IDN-ove, osigurajte da vaša CSP politika ispravno rukuje tim domenama. Budite svjesni potencijalnih problema s kodiranjem ili nedosljednosti preglednika.
• Cross-Origin Resource Sharing (CORS): CSP radi u suradnji s CORS-om. Ako vršite zahtjeve s drugih domena, osigurajte da je vaša CORS konfiguracija kompatibilna s vašom CSP politikom.
• Regionalni sigurnosni standardi: Neke regije mogu imati specifične sigurnosne standarde ili zahtjeve. Istražite i uskladite se s tim standardima pri implementaciji CSP-a za korisnike u tim regijama.
• Kulturološka razmatranja: Budite svjesni kulturoloških razlika u načinu na koji se web stranice koriste i pristupaju. Prilagodite svoju implementaciju CSP-a kako biste se pozabavili potencijalnim sigurnosnim rizicima specifičnim za određene regije ili demografske skupine.
• Pristupačnost: Osigurajte da vaša implementacija CSP-a ne utječe negativno na pristupačnost vaše web stranice. Na primjer, ne blokirajte potrebne skripte ili stilove koji su potrebni za čitače zaslona ili druge pomoćne tehnologije.
• Testiranje u različitim regijama: Temeljito testirajte svoju implementaciju CSP-a u različitim geografskim regijama i preglednicima kako biste identificirali i riješili sve potencijalne probleme.

Rješavanje problema s CSP-om

Implementacija CSP-a ponekad može biti izazovna i možete naići na probleme. Evo nekih uobičajenih problema i kako ih riješiti:

• Web stranica se kvari nakon omogućavanja CSP-a: To je često uzrokovano previše restriktivnom politikom. Koristite alate za razvojne programere u pregledniku kako biste identificirali resurse koji se blokiraju i prilagodite svoju politiku u skladu s tim.
• Izvještaji o kršenju CSP-a se ne primaju: Provjerite konfiguraciju poslužitelja kako biste osigurali da je krajnja točka report-uri (ili `report-to`) ispravno konfigurirana i da vaš poslužitelj pravilno rukuje POST zahtjevima. Također, provjerite šalje li preglednik doista izvještaje (možete koristiti alate za razvojne programere za provjeru mrežnog prometa).
• Poteškoće s inline skriptama i stilovima: Ako imate problema s inline skriptama i stilovima, razmislite o korištenju nonce-ova ili hash-eva da biste ih stavili na bijelu listu. Alternativno, pokušajte premjestiti kod u vanjske datoteke.
• Problemi sa skriptama trećih strana: Koristite SRI za provjeru integriteta skripti trećih strana. Ako i dalje imate problema, pokušajte hostirati skripte lokalno ili se obratite pružatelju usluge treće strane za pomoć.
• Problemi s kompatibilnošću preglednika: CSP je podržan od strane većine modernih preglednika, ali mogu postojati neki problemi s kompatibilnošću sa starijim preglednicima. Testirajte svoju politiku u različitim preglednicima kako biste osigurali da radi kako se očekuje.
• Konflikti CSP politika: Ako koristite više CSP politika (npr. iz različitih dodataka ili ekstenzija), one se mogu sukobljavati. Pokušajte onemogućiti dodatke ili ekstenzije da vidite rješava li to problem.

Zaključak

Content Security Policy je moćan alat za poboljšanje sigurnosti vaše web stranice i zaštitu vaših korisnika od različitih prijetnji. Pravilnom implementacijom CSP-a i slijedeći najbolje prakse, možete značajno smanjiti rizik od XSS napada, clickjackinga i drugih ranjivosti. Iako implementacija CSP-a može biti složena, prednosti koje nudi u smislu sigurnosti i povjerenja korisnika su itekako vrijedne truda. Ne zaboravite započeti sa strogom politikom, temeljito testirati i kontinuirano pratiti i poboljšavati svoju politiku kako bi ostala učinkovita. Kako se web razvija i pojavljuju nove prijetnje, CSP će i dalje biti ključan dio sveobuhvatne strategije web sigurnosti.