Webbiztonsági fejlécek: Tartalombiztonsági irányelv (CSP) és a JavaScript végrehajtása

A mai összetett digitális világban a webalkalmazások biztonsága kiemelkedően fontos. Az egyik leghatékonyabb védekezési módszer a különféle támadások, különösen a Cross-Site Scripting (XSS) ellen a webbiztonsági fejlécek használata. Ezek közül a Tartalombiztonsági irányelv (Content Security Policy, CSP) emelkedik ki, mint egy hatékony mechanizmus, amellyel szabályozható, hogy a böngésző milyen erőforrásokat tölthet be egy adott oldalhoz. Ez a cikk átfogó útmutatót nyújt a CSP megértéséhez és hatékony bevezetéséhez, hogy megvédje webalkalmazásait és felhasználóit.

A webbiztonsági fejlécek megértése

A webbiztonsági fejlécek olyan HTTP válaszfejlécek, amelyek utasításokat adnak a böngészőnek arra vonatkozóan, hogyan viselkedjen bizonyos típusú tartalmak kezelésekor. Ezek a mélységi védelem (defense-in-depth) stratégiájának kulcsfontosságú részét képezik, és más biztonsági intézkedésekkel együttműködve csökkentik a kockázatokat.

A leggyakrabban használt webbiztonsági fejlécek közé tartoznak:

• Tartalombiztonsági irányelv (Content Security Policy, CSP): Szabályozza, hogy a felhasználói ügynök milyen erőforrásokat tölthet be.
• Szigorú szállítási biztonság (HTTP Strict Transport Security, HSTS): HTTPS használatára kényszeríti a böngészőket.
• X-Frame-Options: Védelmet nyújt a Clickjacking támadások ellen.
• X-Content-Type-Options: Megakadályozza a MIME-típus felismerésével kapcsolatos sebezhetőségeket.
• Referrer-Policy: Szabályozza, hogy mennyi hivatkozási információt kell a kérésekhez csatolni.
• Permissions-Policy (korábban Feature-Policy): Lehetővé teszi a böngésző funkcióinak részletes szabályozását.

Ez a cikk elsősorban a Tartalombiztonsági irányelvre (CSP) és annak a JavaScript végrehajtására gyakorolt hatására összpontosít.

Mi az a Tartalombiztonsági irányelv (CSP)?

A CSP egy HTTP válaszfejléc, amely lehetővé teszi egy engedélyezőlista (whitelist) meghatározását azokról a forrásokról, ahonnan a böngésző erőforrásokat tölthet be. Ide tartoznak a JavaScript, CSS, képek, betűtípusok és egyéb eszközök. Ezen megbízható források explicit meghatározásával jelentősen csökkentheti az XSS támadások kockázatát, amelyek során rosszindulatú szkripteket injektálnak a webhelyére, és azokat a felhasználók böngészőjének kontextusában hajtják végre.

Gondoljon a CSP-re mint egy tűzfalra a böngészője számára, de a hálózati forgalom blokkolása helyett a nem megbízható kódok végrehajtását blokkolja.

Miért fontos a CSP a JavaScript végrehajtása szempontjából?

A JavaScript egy hatékony nyelv, amellyel dinamikus és interaktív webes élményeket lehet létrehozni. Rugalmassága azonban a támadók elsődleges célpontjává is teszi. Az XSS támadások gyakran rosszindulatú JavaScript kód beillesztését jelentik egy webhelybe, amelyet aztán felhasználói hitelesítő adatok ellopására, a felhasználók adathalász oldalakra való átirányítására vagy a webhely megrongálására lehet használni.

A CSP hatékonyan megakadályozhatja ezeket a támadásokat azáltal, hogy korlátozza azokat a forrásokat, ahonnan a JavaScript betölthető és végrehajtható. Alapértelmezés szerint a CSP blokkolja az összes beágyazott (inline) JavaScriptet (a <script> címkén belüli kódot) és a külső domainekről betöltött JavaScriptet. Ezután a CSP direktívákkal szelektíven engedélyezheti a megbízható forrásokat.

CSP direktívák: Az irányelv építőkövei

A CSP direktívák határozzák meg, hogy milyen típusú erőforrásokat lehet betölteni, és milyen forrásokból. Íme néhány a legfontosabb direktívák közül:

• default-src: Alapértelmezett forrásként szolgál más letöltési direktívákhoz. Ha egy specifikus direktíva nincs meghatározva, a default-src kerül alkalmazásra.
• script-src: Meghatározza a JavaScript kód engedélyezett forrásait.
• style-src: Meghatározza a CSS stíluslapok engedélyezett forrásait.
• img-src: Meghatározza a képek engedélyezett forrásait.
• font-src: Meghatározza a betűtípusok engedélyezett forrásait.
• media-src: Meghatározza az audio- és videófájlok engedélyezett forrásait.
• object-src: Meghatározza a bővítmények (pl. Flash) engedélyezett forrásait.
• frame-src: Meghatározza a keretek (<frame>, <iframe>) engedélyezett forrásait.
• connect-src: Meghatározza a hálózati kérések (pl. XMLHttpRequest, Fetch API, WebSockets) engedélyezett eredeteit.
• base-uri: Korlátozza azokat az URL-eket, amelyek egy dokumentum <base> elemében használhatók.
• form-action: Korlátozza azokat az URL-eket, amelyekre űrlapokat lehet küldeni.
• upgrade-insecure-requests: Utasítja a böngészőt, hogy minden nem biztonságos (HTTP) URL-t biztonságos (HTTPS) URL-re frissítsen.
• block-all-mixed-content: Megakadályozza, hogy a böngésző bármilyen erőforrást HTTP-n keresztül töltsön be, ha az oldal HTTPS-en keresztül töltődött be.

Minden direktíva különböző forráskifejezéseket fogadhat el, többek között:

• *: Bármilyen forrásból engedélyezi az erőforrásokat (általában nem ajánlott).
• 'self': Engedélyezi az erőforrásokat ugyanarról az eredetről (séma, hoszt és port), mint a dokumentum.
• 'none': Semmilyen forrásból nem engedélyez erőforrásokat.
• 'unsafe-inline': Engedélyezi a beágyazott JavaScript és CSS használatát (erősen ellenjavallt).
• 'unsafe-eval': Engedélyezi az eval() és a kapcsolódó függvények használatát (erősen ellenjavallt).
• 'unsafe-hashes': Lehetővé teszi bizonyos beágyazott eseménykezelők használatát a SHA256, SHA384 vagy SHA512 hash-ük alapján (óvatosan használja).
• data:: Engedélyezi a data: URI-kat (pl. base64 kódolású beágyazott képek).
• https://example.com: Engedélyezi az erőforrásokat a megadott domainről (és opcionálisan portról) HTTPS-en keresztül.
• *.example.com: Engedélyezi az erőforrásokat az example.com bármely aldomainjéről.
• nonce-{random-value}: Engedélyezi azokat a beágyazott szkripteket vagy stílusokat, amelyeknek van egyező nonce attribútumuk (ajánlott a beágyazott kódokhoz).
• sha256-{hash-value}: Engedélyezi azokat a beágyazott szkripteket vagy stílusokat, amelyeknek van egyező SHA256 hash-ük (a nonce-ok alternatívája).

A CSP bevezetése: Gyakorlati példák

A CSP bevezetésének két fő módja van:

1. HTTP fejléc: A Content-Security-Policy fejléc küldése a HTTP válaszban. Ez az előnyben részesített módszer.
2. <meta> címke: Egy <meta> címke használata a HTML dokumentum <head> szakaszában. Ennek a módszernek korlátai vannak, és általában nem ajánlott.

A HTTP fejléc használata

A CSP fejléc beállításához konfigurálnia kell a webszerverét. A pontos lépések a szervertől függően változnak (pl. Apache, Nginx, IIS).

Íme néhány példa a CSP fejlécekre:

Alapvető CSP

Ez az irányelv csak az azonos eredetű erőforrásokat engedélyezi:

            Content-Security-Policy: default-src 'self';
            

              
                Copy
              
            
          

Erőforrások engedélyezése meghatározott domainekről

Ez az irányelv engedélyezi a JavaScriptet a https://cdn.example.com címről és a képeket a https://images.example.net címről:

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; img-src 'self' https://images.example.net;
            

              
                Copy
              
            
          

Nonce-ok használata beágyazott szkriptekhez

Ez az irányelv engedélyezi azokat a beágyazott szkripteket, amelyeknek van egyező nonce attribútumuk:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3';
            

              
                Copy
              
            
          

A HTML-ben:

            <script nonce="rAnd0mN0nc3">
 // A beágyazott szkripted
</script>
            

              
                Copy
              
            
          

Megjegyzés: A nonce értékét minden kérésnél véletlenszerűen kell generálni, hogy a támadók ne tudják megkerülni a CSP-t.

Hash-ek használata beágyazott szkriptekhez

Ez az irányelv engedélyezi bizonyos beágyazott szkriptek használatát a SHA256 hash-ük alapján:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=';
            

              
                Copy
              
            
          

A SHA256 hash generálásához használhat különféle online eszközöket vagy parancssori segédprogramokat (pl. openssl dgst -sha256 -binary input.js | openssl base64).

A <meta> címke használata

Bár bonyolult irányelvekhez nem ajánlott, a <meta> címke használható egy alapvető CSP beállítására. Például:

            <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
            

              
                Copy
              
            
          

A <meta> címke korlátai:

• Nem használható a report-uri direktíva megadására.
• Nem olyan széles körben támogatott, mint a HTTP fejléc.
• Kevésbé rugalmas és nehezebben kezelhető bonyolult irányelvek esetén.

CSP csak jelentési (Report-Only) mód

Mielőtt élesítené a CSP-t, erősen ajánlott a Content-Security-Policy-Report-Only fejléc használata. Ez lehetővé teszi, hogy figyelemmel kísérje az irányelv hatását anélkül, hogy ténylegesen blokkolna bármilyen erőforrást. A böngésző minden megsértést jelent egy megadott URL-re, lehetővé téve az irányelv finomhangolását, mielőtt éles környezetben bevezetné.

            Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report;
            

              
                Copy
              
            
          

Szüksége lesz egy szerveroldali végpont (pl. /csp-report) konfigurálására a CSP jelentések fogadásához és feldolgozásához. Ezek a jelentések általában JSON objektumok, amelyek információkat tartalmaznak a megsértett direktíváról, a blokkolt URI-ról és egyéb releváns részletekről.

Gyakori CSP hibák és elkerülésük

A CSP bevezetése kihívást jelenthet, és könnyű olyan hibákat elkövetni, amelyek gyengíthetik a biztonságot vagy tönkretehetik a webhelyet. Íme néhány gyakori buktató, amelyet érdemes elkerülni:

• Az 'unsafe-inline' és az 'unsafe-eval' használata: Ezek a direktívák lényegében kikapcsolják a CSP által nyújtott védelmet, ezért lehetőség szerint kerülni kell őket. Használjon nonce-okat vagy hash-eket a beágyazott szkriptekhez, és kerülje az eval() használatát.
• A * használata: Az erőforrások bármilyen forrásból történő engedélyezése meghiúsítja a CSP célját. Legyen a lehető legspecifikusabb az irányelv meghatározásakor.
• Nem alapos tesztelés: Mindig tesztelje a CSP-t csak jelentési módban, mielőtt élesítené. Figyelje a jelentéseket és szükség szerint módosítsa az irányelvet.
• A report-uri helytelen konfigurálása: Győződjön meg róla, hogy a report-uri végpontja helyesen van beállítva a CSP jelentések fogadására és feldolgozására.
• A CSP frissítésének elmulasztása: Ahogy a webhelye fejlődik, a CSP-t is frissíteni kell, hogy tükrözze az erőforrás-függőségek változásait.
• Túl korlátozó irányelvek: A túl szigorú irányelvek tönkretehetik a webhelyét és frusztrálhatják a felhasználókat. Találja meg az egyensúlyt a biztonság és a használhatóság között.

CSP és harmadik féltől származó könyvtárak

Sok webhely támaszkodik harmadik féltől származó könyvtárakra és szolgáltatásokra, mint például CDN-ekre, analitikai szolgáltatókra és közösségi média widgetekre. A CSP bevezetésekor fontos figyelembe venni ezeket a függőségeket, és biztosítani, hogy az irányelv lehetővé tegye számukra az erőforrások helyes betöltését.

Íme néhány stratégia a harmadik féltől származó könyvtárak kezelésére:

• Explicit módon vegye fel a megbízható harmadik féltől származó szolgáltatók domainjeit az engedélyezőlistára: Például, ha jQuery-t használ egy CDN-ről, adja hozzá a CDN domainjét a script-src direktívához.
• Használjon erőforrás-integritás ellenőrzést (Subresource Integrity, SRI): Az SRI lehetővé teszi annak ellenőrzését, hogy a harmadik féltől származó forrásokból betöltött fájlokat nem módosították-e. Az SRI használatához generálnia kell a fájl kriptográfiai hash-ét, és azt bele kell foglalnia a <script> vagy <link> címkébe.
• Fontolja meg a harmadik féltől származó könyvtárak saját szerveren történő hosztolását: Ez nagyobb kontrollt biztosít az erőforrások felett, és csökkenti a külső szolgáltatóktól való függőséget.

Példa SRI használatára:

            <script
 src="https://cdn.example.com/jquery.min.js"
 integrity="sha384-vtXRMe3mGCkKsTB9UMvnoknreNzcMRujMQFFSQhtI2zxLlClmHsfq9em6JzhbqQ"
 crossorigin="anonymous"></script>
            

              
                Copy
              
            
          

CSP és egyoldalas alkalmazások (SPA-k)

Az SPA-k gyakran nagymértékben támaszkodnak a JavaScriptre és a dinamikus kódgenerálásra, ami megnehezítheti a CSP bevezetését. Íme néhány tipp az SPA-k CSP-vel történő biztonságossá tételéhez:

• Kerülje az 'unsafe-eval' használatát: Az SPA-k gyakran használnak sablonmotorokat vagy más technikákat, amelyek az eval()-re támaszkodnak. Ehelyett fontolja meg olyan alternatív megközelítések használatát, amelyek nem igényelnek eval()-t, mint például az előre lefordított sablonok.
• Használjon nonce-okat vagy hash-eket a beágyazott szkriptekhez: Az SPA-k gyakran dinamikusan illesztenek be JavaScript kódot. Használjon nonce-okat vagy hash-eket annak biztosítására, hogy csak megbízható kód fusson le.
• Gondosan konfigurálja a connect-src direktívát: Az SPA-k gyakran intéznek API kéréseket különböző végpontokhoz. Győződjön meg róla, hogy csak a szükséges domaineket veszi fel az engedélyezőlistára a connect-src direktívában.
• Fontolja meg egy CSP-tudatos keretrendszer használatát: Néhány JavaScript keretrendszer beépített támogatást nyújt a CSP-hez, megkönnyítve a biztonságos irányelv bevezetését és karbantartását.

CSP és nemzetköziesítés (i18n)

Globális közönség számára készített webalkalmazások fejlesztésekor fontos figyelembe venni a CSP hatását a nemzetköziesítésre (i18n). Íme néhány tényező, amit érdemes szem előtt tartani:

• Tartalomszolgáltató hálózatok (CDN-ek): Ha CDN-t használ a webhely eszközeinek kézbesítésére, győződjön meg róla, hogy a CDN domainjei szerepelnek a CSP engedélyezőlistáján. Fontolja meg különböző CDN-ek használatát a különböző régiókban a teljesítmény optimalizálása érdekében.
• Külső betűtípusok: Ha külső betűtípusokat használ (pl. Google Fonts), győződjön meg róla, hogy a betűtípus-szolgáltatók domainjei szerepelnek a font-src direktíva engedélyezőlistáján.
• Lokalizált tartalom: Ha a webhelyének különböző verzióit szolgálja ki különböző nyelvekhez vagy régiókhoz, győződjön meg róla, hogy a CSP minden verzióhoz helyesen van konfigurálva.
• Harmadik féltől származó integrációk: Ha bizonyos régiókra jellemző harmadik féltől származó szolgáltatásokkal integrálódik, győződjön meg róla, hogy ezen szolgáltatások domainjei szerepelnek a CSP engedélyezőlistáján.

CSP legjobb gyakorlatok: Globális perspektíva

Íme néhány általános legjobb gyakorlat a CSP bevezetéséhez, globális perspektívát is figyelembe véve:

• Kezdje egy korlátozó irányelvvel: Kezdjen egy olyan irányelvvel, amely alapértelmezés szerint mindent blokkol, majd szelektíven engedélyezze a megbízható forrásokat.
• Először használja a csak jelentési módot: Tesztelje a CSP-t csak jelentési módban, mielőtt élesítené, hogy azonosítsa a lehetséges problémákat.
• Figyelje a CSP jelentéseket: Rendszeresen tekintse át a CSP jelentéseket a lehetséges biztonsági sebezhetőségek azonosítása és az irányelv finomítása érdekében.
• Használjon nonce-okat vagy hash-eket a beágyazott szkriptekhez: Kerülje az 'unsafe-inline' és az 'unsafe-eval' használatát.
• Legyen specifikus a forráslistáival: Kerülje a helyettesítő karakterek (*) használatát, hacsak nem feltétlenül szükséges.
• Használjon erőforrás-integritás ellenőrzést (Subresource Integrity, SRI) a harmadik féltől származó erőforrásokhoz: Ellenőrizze a CDN-ekről betöltött fájlok sértetlenségét.
• Tartsa naprakészen a CSP-t: Rendszeresen vizsgálja felül és frissítse a CSP-t, hogy tükrözze a webhely és a függőségek változásait.
• Oktassa a csapatát: Győződjön meg róla, hogy a fejlesztők és a biztonsági csapat megértik a CSP fontosságát és a helyes bevezetés módját.
• Fontolja meg egy CSP generátor vagy kezelő eszköz használatát: Ezek az eszközök segíthetnek a CSP könnyebb létrehozásában és karbantartásában.
• Dokumentálja a CSP-t: Dokumentálja a CSP irányelvét és az egyes direktívák mögött álló okokat, hogy a jövőbeli fejlesztők megértsék és karbantarthassák azt.

Összegzés

A Tartalombiztonsági irányelv egy hatékony eszköz az XSS támadások enyhítésére és a webalkalmazások biztonságának növelésére. A megbízható források engedélyezőlistájának gondos meghatározásával jelentősen csökkentheti a rosszindulatú kódok végrehajtásának kockázatát és megvédheti felhasználóit a károktól. A CSP bevezetése kihívást jelenthet, de a cikkben vázolt legjobb gyakorlatok követésével, valamint az alkalmazás és a globális közönség specifikus igényeinek figyelembevételével létrehozhat egy robusztus és hatékony biztonsági irányelvet, amely világszerte védi webhelyét és felhasználóit.

Ne feledje, hogy a biztonság egy folyamatos folyamat, és a CSP csak egy darabja a kirakósnak. Kombinálja a CSP-t más biztonsági intézkedésekkel, mint például a bemeneti validálás, a kimeneti kódolás és a rendszeres biztonsági auditok, hogy egy átfogó, mélységi védelmi stratégiát hozzon létre.

További források

• Tartalombiztonsági irányelv (CSP) - MDN Web Docs
• CSP Értékelő
• Content-Security-Policy.com