Content Security Policy (CSP): Átfogó útmutató az XSS megelőzéséhez

A mai digitális környezetben a webbiztonság kiemelten fontos. A Cross-Site Scripting (XSS) támadások továbbra is elterjedt és veszélyes fenyegetést jelentenek a webalkalmazásokra világszerte. A Content Security Policy (CSP) egy hatékony HTTP válasz fejléc, amely extra biztonsági réteget biztosít, segítve az XSS sebezhetőségek kockázatának csökkentését. Ez az útmutató átfogó áttekintést nyújt a CSP-ről, annak implementálásáról és a webalkalmazások XSS támadásoktól való védelmének legjobb gyakorlatairól.

Mi az a Cross-Site Scripting (XSS)?

A Cross-Site Scripting (XSS) egy injekciós támadási típus, amely során rosszindulatú szkripteket juttatnak be egyébként ártalmatlan és megbízható webhelyekre. Az XSS támadások akkor fordulnak elő, amikor egy támadó egy webalkalmazást használ arra, hogy rosszindulatú kódot, általában böngészőoldali szkript formájában, továbbítson egy másik végfelhasználónak. Az ilyen támadásokat lehetővé tevő hibák meglehetősen elterjedtek, és bárhol előfordulhatnak, ahol egy webalkalmazás felhasználói bemenetet használ a generált kimenetben anélkül, hogy validálná vagy kódolná azt.

Az XSS támadásoknak három fő típusa van:

• Tárolt (Perzisztens) XSS: A rosszindulatú szkript tartósan tárolódik a cél szerveren (pl. adatbázisban, üzenőfórumon, látogatói naplóban, megjegyzés mezőben stb.). Amikor egy felhasználó meglátogatja az érintett oldalt, a tárolt szkript végrehajtódik.
• Visszatükröződő (Nem-perzisztens) XSS: A rosszindulatú szkript visszatükröződik a webszerverről, például egy hibaüzenetben, keresési eredményben vagy bármely más válaszban, amely tartalmazza a kérés részeként a szervernek küldött bemenet egy részét vagy egészét. A felhasználót rá kell venni, hogy rákattintson egy rosszindulatú linkre, vagy beküldjön egy rosszindulatú szkriptet tartalmazó űrlapot.
• DOM-alapú XSS: A sebezhetőség magában az ügyféloldali kódban rejlik. A rosszindulatú szkript azért hajtódik végre, mert a böngésző DOM környezete úgy manipulálódik, hogy tartalmazza a támadó szkriptjét.

Az XSS támadások súlyos következményekkel járhatnak, többek között:

• Felhasználói hitelesítő adatok (cookie-k, munkamenet-tokenek) ellopása.
• Webhelyek defacementje.
• Felhasználók rosszindulatú webhelyekre irányítása.
• Kártevők telepítése.
• Jogosulatlan hozzáférés érzékeny adatokhoz.

Mi az a Content Security Policy (CSP)?

A Content Security Policy (CSP) egy további biztonsági réteg, amely segít bizonyos típusú támadások, köztük a Cross-Site Scripting (XSS) és az adatbeviteli támadások felderítésében és enyhítésében. A CSP egy HTTP válasz fejlécen keresztül implementálható, amely lehetővé teszi az adott oldalhoz betölthető erőforrások (pl. szkriptek, stíluslapok, képek, betűtípusok, keretek) szabályozását. Egy szigorú CSP meghatározásával jelentősen csökkentheti webalkalmazása támadási felületét, és megnehezítheti a támadók számára a rosszindulatú kódok beillesztését.

A CSP úgy működik, hogy meghatároz egy fehérlistát azokról a forrásokról, ahonnan a böngésző erőforrásokat tölthet be. A CSP-ben explicit módon nem engedélyezett forrásból betöltött bármely erőforrás blokkolásra kerül a böngésző által. Ez megakadályozza az engedélyezetlen szkriptek végrehajtását és csökkenti az XSS támadások kockázatát.

Hogyan működik a CSP: Direktívák és források

A CSP konfiguráció direktívák sorozatával történik, amelyek mindegyike egy adott erőforrástípusra vonatkozó szabályzatot határoz meg. Minden direktíva egy névből és az engedélyezett források listájából áll. Íme néhány a leggyakrabban használt CSP direktívák közül:

• `default-src`: Meghatározza az erőforrások lekérésének alapértelmezett szabályzatát, ha nincsenek más erőforrás-specifikus direktívák.
• `script-src`: Meghatározza a JavaScript kódok engedélyezett forrásait.
• `style-src`: Meghatározza a stíluslapok (CSS) engedélyezett forrásait.
• `img-src`: Meghatározza a képek engedélyezett forrásait.
• `font-src`: Meghatározza a betűtípusok engedélyezett forrásait.
• `connect-src`: Meghatározza a hálózati kérések (pl. AJAX, WebSockets) engedélyezett forrásait.
• `media-src`: Meghatározza a video és audio erőforrások betöltésének engedélyezett forrásait.
• `object-src`: Meghatározza a pluginek, például a Flash engedélyezett forrásait.
• `frame-src`: Meghatározza a keretek (iframe-ek) beágyazásának engedélyezett forrásait.
• `base-uri`: Korlátozza az URL-eket, amelyek egy dokumentum `<base>` elemében használhatók.
• `form-action`: Korlátozza az URL-eket, amelyekre az űrlapok beküldhetők.
• `upgrade-insecure-requests`: Utasítja a böngészőket a nem biztonságos (HTTP) kérések automatikus frissítésére biztonságos (HTTPS) kérésekre.
• `block-all-mixed-content`: Megakadályozza, hogy a böngésző bármilyen erőforrást HTTP-n keresztül töltsön be, amikor az oldal HTTPS-en keresztül töltődik be.
• `report-uri`: Megadja azt az URL-t, ahová a böngészőnek a CSP megsértésekről szóló jelentéseket kell küldenie. Deprecated a `report-to` javára.
• `report-to`: Megadja egy elnevezett végpontot, ahová a böngészőnek a CSP megsértésekről szóló jelentéseket kell küldenie.

Gyakran használt forrásértékek:

• `*`: Bármilyen forrásból engedélyezi az erőforrásokat (nem ajánlott éles környezetben).
• `'self'`: Engedélyezi az erőforrásokat ugyanarról az eredetről (séma, hoszt és port), mint a védett dokumentum.
• `'none'`: Letiltja az erőforrások betöltését bármilyen forrásból.
• `data:`: Engedélyezi az erőforrások betöltését a `data:` séma segítségével (pl. beágyazott képek).
• `'unsafe-inline'`: Engedélyezi a beágyazott JavaScript és CSS használatát (erősen nem ajánlott).
• `'unsafe-eval'`: Engedélyezi az `eval()` és hasonló függvények használatát (erősen nem ajánlott).
• `'strict-dynamic'`: Meghatározza, hogy a jelölőben szereplő szkriptnek explicit módon adott bizalmat, amelyhez nonce vagy hash társul, az a gyökérm szkript által betöltött összes szkriptre átterjed.
• `'nonce-'`: Engedélyezi a szkripteket vagy stílusokat egyező nonce attribútummal.
• `'sha256-'`, `'sha384-'`, `'sha512-'`: Engedélyezi a szkripteket vagy stílusokat egyező SHA hash-sel.
• `https://example.com`: Engedélyezi az erőforrásokat egy adott tartományból.

CSP Implementálása

A CSP két fő módon implementálható:

1. HTTP fejléc: Az ajánlott módszer a webkiszolgáló konfigurálása a `Content-Security-Policy` HTTP válasz fejléc küldésére. Ez lehetővé teszi a CSP meghatározását minden oldalhoz vagy erőforráshoz a webhelyén.
2. <meta> Címke: A CSP definiálható egy <meta> címkével is a HTML dokumentum <head> szakaszában. Ez a módszer azonban kevésbé rugalmas és korlátozásokkal rendelkezik a HTTP fejléc használatához képest. Például a `frame-ancestors`, `sandbox` és `report-uri` direktívák nem használhatók HTML meta címkékben.

A HTTP fejléc használata

A CSP HTTP fejlécen keresztüli implementálásához konfigurálnia kell a webkiszolgálót a `Content-Security-Policy` fejléc szerepeltetésére a válaszaiban. A specifikus konfigurációs lépések eltérőek lehetnek az Ön által használt webkiszolgálótól függően.

Íme példák gyakori webkiszolgálókhoz:

• Apache: Adja hozzá a következő sort a `.htaccess` fájljához vagy a virtuális hoszt konfigurációjához:

Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;"

• Nginx: Adja hozzá a következő sort a szerverblokk konfigurációjához:

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:";

• Node.js (Express): Használjon middleware-t a fejléc beállításához:

app.use(function(req, res, next) {
  res.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;");
  next();
});

A <meta> Címke használata

A CSP <meta> címkével történő implementálásához adja hozzá a következő címkét HTML dokumentuma <head> szakaszához:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://example.com; img-src 'self' data:;">

Fontos megfontolások:

• Az `http-equiv` attribútumnak `Content-Security-Policy`-nek kell lennie.
• A `content` attribútum tartalmazza a CSP direktívákat.
• Ne feledkezzen meg a korábban említett <meta> címkék használatának korlátairól.

CSP Példák

Íme néhány CSP példa magyarázattal:

1. Alapvető CSP:

Content-Security-Policy: default-src 'self';

Ez a szabályzat csak azonos eredetű erőforrásokat engedélyez.

2. Szkriptek engedélyezése egy adott tartományról:

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com;

Ez a szabályzat azonos eredetű erőforrásokat és szkripteket engedélyez a `https://example.com` címről.

3. Stílusok engedélyezése CDN-ről:

Content-Security-Policy: default-src 'self'; style-src 'self' https://cdn.example.com;

Ez a szabályzat azonos eredetű erőforrásokat és stílusokat engedélyez a `https://cdn.example.com` címről.

4. Képek engedélyezése bármilyen forrásból:

Content-Security-Policy: default-src 'self'; img-src *;

Ez a szabályzat azonos eredetű erőforrásokat és bármilyen forrásból származó képeket engedélyez (nem ajánlott éles használatra).

5. CSP megsértések jelentése:

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint;

Ez a szabályzat azonos eredetű erőforrásokat engedélyez, és a megsértési jelentéseket a `/csp-report-endpoint` címre küldi. Ajánlott a `report-uri` helyett a `report-to` használata.

6. `report-to` és `report-uri` együttes használata a kompatibilitás érdekében:

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint; report-to csp-endpoint;
Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint; report-to csp-endpoint;
Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"/csp-report-endpoint"}]}

Ez a példa bemutatja mind a `report-uri` (régebbi böngészőknek), mind a `report-to` végpont beállítását, valamint magának a `Report-To` fejlécnek a konfigurálását. Győződjön meg róla, hogy a szervere helyesen kezeli a `Report-To` fejlécet, megfelelően beállítva a `group`, `max_age` és `endpoints` értékeket.

7. Nonce-ok használata beágyazott szkriptekhez:

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3Str1nG';

Ez a szabályzat azonos eredetű erőforrásokat és a megfelelő nonce attribútummal rendelkező beágyazott szkripteket engedélyezi.

<script nonce="rAnd0mN0nc3Str1nG">
  // Itt található a beágyazott szkript kódja
</script>

CSP Jelentés módban

A CSP két módban implementálható:

• Kényszerítő mód: A böngésző blokkolja a CSP-t sértő erőforrásokat.
• Jelentés mód: A böngésző jelentést küld a CSP megsértésekről egy megadott végpontra anélkül, hogy bármilyen erőforrást blokkolna.

A Jelentés mód hasznos a CSP teszteléséhez és finomításához annak érvényesítése előtt. A Jelentés mód engedélyezéséhez használja a `Content-Security-Policy-Report-Only` HTTP fejlécet a `Content-Security-Policy` fejléc helyett.

Példa:

Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint;

Ez a konfiguráció jelentéseket küld a `/csp-report-endpoint` címre anélkül, hogy bármilyen erőforrást blokkolna.

Legjobb gyakorlatok a CSP implementálásához

Íme néhány legjobb gyakorlat a CSP hatékony implementálásához:

1. Kezdje egy szigorú szabályzattal: Kezdjen egy korlátozó szabályzattal, amely csak az azonos eredetű erőforrásokat engedélyezi, és fokozatosan lazítsa meg szükség szerint.
2. Használjon nonce-okat vagy hash-eket a beágyazott szkriptekhez és stílusokhoz: Kerülje az `'unsafe-inline'` használatát, és használjon nonce-okat vagy hash-eket specifikus beágyazott szkriptek és stílusok engedélyezéséhez.
3. Kerülje az `'unsafe-eval'` használatát: Ha lehetséges, kerülje az `'unsafe-eval'` használatát, mivel ez biztonsági kockázatokat vethet fel. Fontolja meg az alternatív megközelítéseket a dinamikus kód végrehajtásához.
4. Használjon HTTPS-t: Győződjön meg arról, hogy minden erőforrás HTTPS-en keresztül töltődik be a man-in-the-middle támadások megelőzése érdekében. Használja az `upgrade-insecure-requests` direktívát a nem biztonságos kérések automatikus frissítéséhez.
5. Figyelje a CSP megsértéseket: Állítson be egy jelentési végpontot a CSP megsértések figyelésére és a potenciális biztonsági problémák azonosítására.
6. Tesztelje alaposan a CSP-t: Tesztelje CSP-jét különböző böngészőkben és környezetekben, hogy megbizonyosodjon arról, hogy az a vártnak megfelelően működik.
7. Iteráció és finomítás: A CSP implementálása egy iteratív folyamat. Folyamatosan figyelje és finomítsa CSP-jét az alkalmazás fejlődésével párhuzamosan.
8. Fontolja meg a `strict-dynamic` direktívát: Használja a `strict-dynamic`-t a CSP komplexitásának csökkentésére azáltal, hogy a bizalmat átterjeszti a megbízható szkriptek által betöltött szkriptekre.

Eszközök a CSP-hez

Számos eszköz segíthet a CSP generálásában, tesztelésében és figyelésében:

• CSP Generátorok: Online eszközök, amelyek a webhely erőforrásai alapján generálnak CSP direktívákat.
• Böngésző Fejlesztői Eszközök: A legtöbb modern böngésző rendelkezik fejlesztői eszközökkel, amelyek segíthetnek a CSP megsértéseinek elemzésében.
• CSP Felügyeleti Szolgáltatások: Szolgáltatások, amelyek összegyűjtik és elemzik a CSP megsértési jelentéseket.

CSP és Keretrendszerek/Könyvtárak

Keretrendszerek és könyvtárak használata során fontos a CSP helyes konfigurálása a kompatibilitás biztosítása és a biztonsági problémák elkerülése érdekében. Íme néhány megfontolás:

• JavaScript Keretrendszerek (pl. React, Angular, Vue.js): Ezek a keretrendszerek gyakran használnak beágyazott stílusokat vagy dinamikus kódgenerálást, amelyek speciális CSP konfigurációkat igényelhetnek (pl. nonce-ok, hash-ek, `'unsafe-eval'`).
• CSS Keretrendszerek (pl. Bootstrap, Tailwind CSS): Ezek a keretrendszerek használhatnak beágyazott stílusokat vagy külső stíluslapokat, amelyeket engedélyezni kell a CSP-ben.
• Harmadik féltől származó könyvtárak: Győződjön meg arról, hogy az Ön által használt harmadik féltől származó könyvtárak kompatibilisek a CSP-vel, és nem vezetnek be biztonsági sebezhetőségeket.

CSP és CDN-ek (Tartalomkézbesítő Hálózatok)

A CDN-eket gyakran használják statikus eszközök, például JavaScript fájlok, CSS stíluslapok és képek tárolására. A CDN-ekről származó erőforrások CSP-ben való engedélyezéséhez explicit módon fel kell sorolnia a CDN tartományokat.

Példa:

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net; style-src 'self' https://cdnjs.cloudflare.com;

Ez a szabályzat engedélyezi a szkripteket a jsDelivr-ről és a stílusokat a Cloudflare cdnjs-éről.

Gyakori CSP hibák, amelyeket el kell kerülni

Íme néhány gyakori CSP hiba, amelyet el kell kerülni:

• `*` használata forrásként: Bármilyen forrásból származó erőforrások engedélyezése ellentmondhat a CSP előnyeinek.
• Az `'unsafe-inline'` és az `'unsafe-eval'` indoklás nélküli használata: Ezek a direktívák biztonsági kockázatokat vethetnek fel, és lehetőség szerint kerülni kell őket.
• A CSP megsértések figyelmen kívül hagyása: A CSP megsértéseinek figyelmen kívül hagyása megakadályozhatja a biztonsági problémák azonosítását és kezelését.
• A CSP nem megfelelő tesztelése: Az elégtelen tesztelés váratlan viselkedéshez és biztonsági sebezhetőségekhez vezethet.
• A nonce-ok és hash-ek helytelen konfigurálása: A hibásan konfigurált nonce-ok és hash-ek megakadályozhatják a jogosult szkriptek és stílusok betöltését.

Haladó CSP koncepciók

Az alapokon túl több haladó CSP koncepció is tovább növelheti webbiztonságát:

• `frame-ancestors` Direktíva: Meghatározza azokat az engedélyezett szülőket, amelyek beágyazhatják az iframe-et az oldalába. Véd a clickjacking támadások ellen.
• `sandbox` Direktíva: Engedélyez egy homokozót a kért erőforrás számára, korlátozásokat alkalmazva annak képességeire (pl. szkriptvégrehajtás, űrlapküldés megakadályozása).
• `require-sri-for` Direktíva: Megköveteli a Subresource Integrity (SRI) használatát külső forrásokból betöltött szkriptekhez vagy stílusokhoz. Az SRI biztosítja, hogy a fájlokat ne manipulálták.
• Trusted Types API: Segít megelőzni a DOM-alapú XSS-t azáltal, hogy típusbiztonságot kényszerít ki a DOM fogadókon.

A CSP jövője

A CSP folyamatosan fejlődik az új biztonsági kihívások kezelése érdekében. A jövőbeli fejlesztések magukban foglalhatják:

• Továbbfejlesztett böngésző támogatás: A CSP funkciók böngésző-támogatásának folyamatos javítása.
• Új direktívák és funkciók: Új direktívák és funkciók bevezetése a felmerülő biztonsági fenyegetések kezelésére.
• Integráció biztonsági eszközökkel: Mélyebb integráció a biztonsági eszközökkel és platformokkal a CSP kezelés és felügyelet automatizálása érdekében.

Összegzés

A Content Security Policy (CSP) egy hatékony eszköz az XSS támadások enyhítésére és a webbiztonság fokozására. Egy szigorú CSP meghatározásával jelentősen csökkentheti webalkalmazása támadási felületét, és megvédheti felhasználóit a rosszindulatú kódoktól. A CSP hatékony implementálása gondos tervezést, alapos tesztelést és folyamatos felügyeletet igényel. A jelen útmutatóban vázolt legjobb gyakorlatok követésével kihasználhatja a CSP előnyeit webalkalmazásai biztonsági helyzetének javítása és online jelenlétének védelme érdekében a globális digitális ökoszisztémában.

Ne feledje rendszeresen felülvizsgálni és frissíteni CSP-jét a fejlődő biztonsági fenyegetésekhez való alkalmazkodás és webalkalmazásai védelmének biztosítása érdekében.