Žiniatinklio saugumo politikos diegimas: „JavaScript“ turinio saugumo gairės

Šiuolaikiniame tarpusavyje susijusiame skaitmeniniame pasaulyje žiniatinklio programų saugumas yra svarbiausias. Vienas efektyviausių metodų, skirtų sušvelninti tarpvietinio scenarijų vykdymo (XSS) atakas ir kitus kodo įterpimo pažeidžiamumus, yra turinio saugumo politikos (CSP) įgyvendinimas. Šis išsamus vadovas gilinsis į CSP subtilybes, ypatingą dėmesį skiriant „JavaScript“ turinio saugumo gairėms.

Kas yra turinio saugumo politika (CSP)?

Turinio saugumo politika (CSP) yra HTTP atsakymo antraštė, kuri leidžia svetainės administratoriams kontroliuoti išteklius, kuriuos vartotojo agentui leidžiama įkelti konkrečiam puslapiui. Iš esmės tai yra baltasis sąrašas, nurodantis scenarijų, stilių lentelių, paveikslėlių, šriftų ir kitų išteklių kilmę. Apibrėždami CSP, galite neleisti naršyklei vykdyti kenkėjiško kodo, kurį įterpė užpuolikai, taip žymiai sumažindami XSS atakų riziką.

CSP veikia pagal „numatytojo neigimo“ principą, o tai reiškia, kad pagal nutylėjimą naršyklė blokuos visus išteklius, kurie nėra aiškiai leidžiami politikoje. Šis požiūris efektyviai sumažina atakos plotą ir apsaugo jūsų žiniatinklio programą nuo įvairių grėsmių.

Kodėl CSP yra svarbi „JavaScript“ saugumui?

„JavaScript“, būdama kliento pusės scenarijų kalba, yra pagrindinis taikinys užpuolikams, siekiantiems įterpti kenkėjišką kodą. XSS atakos, kurių metu užpuolikai įterpia kenkėjiškus scenarijus į kitų vartotojų peržiūrimas svetaines, yra dažna grėsmė. CSP yra ypač veiksminga mažinant XSS atakas, kontroliuojant kilmę, iš kurios gali būti vykdomas „JavaScript“ kodas.

Be CSP, sėkminga XSS ataka galėtų leisti užpuolikui:

• Pavogti vartotojo slapukus ir seanso žetonus.
• Sudarkyti svetainę.
• Nukreipti vartotojus į kenkėjiškas svetaines.
• Įterpti kenkėjišką programinę įrangą į vartotojo naršyklę.
• Gauti neteisėtą prieigą prie jautrių duomenų.

Įdiegę CSP, galite žymiai sumažinti šių atakų riziką, neleisdami naršyklei vykdyti neautorizuoto „JavaScript“ kodo.

Pagrindinės CSP direktyvos „JavaScript“ saugumui

CSP direktyvos yra taisyklės, apibrėžiančios leidžiamus išteklių šaltinius. Kelios direktyvos yra ypač svarbios „JavaScript“ saugumui užtikrinti:

script-src

script-src direktyva kontroliuoja vietas, iš kurių galima įkelti „JavaScript“ kodą. Tai bene svarbiausia direktyva „JavaScript“ saugumui. Štai keletas įprastų verčių:

• 'self': Leidžia scenarijus iš tos pačios kilmės kaip ir dokumentas. Tai paprastai yra geras atspirties taškas.
• 'none': Uždraudžia visus scenarijus. Naudokite tai, jei jūsų puslapiui nereikia „JavaScript“.
• 'unsafe-inline': Leidžia įterptuosius scenarijus (scenarijus <script> žymėse) ir įvykių tvarkykles (pvz., onclick). Naudokite tai itin atsargiai, nes tai žymiai silpnina CSP.
• 'unsafe-eval': Leidžia naudoti eval() ir susijusias funkcijas, tokias kaip Function(). To reikėtų vengti, kai tik įmanoma, dėl saugumo pasekmių.
• https://example.com: Leidžia scenarijus iš konkretaus domeno. Būkite tikslūs ir leiskite tik patikimus domenus.
• 'nonce-value': Leidžia įterptuosius scenarijus, turinčius konkretų kriptografinį nonce atributą. Tai saugesnė alternatyva 'unsafe-inline'.
• 'sha256-hash': Leidžia įterptuosius scenarijus, turinčius konkrečią SHA256 maišą. Tai dar viena saugesnė alternatyva 'unsafe-inline'.

Pavyzdys:

script-src 'self' https://cdn.example.com;

Ši politika leidžia scenarijus iš tos pačios kilmės ir iš https://cdn.example.com.

default-src

default-src direktyva veikia kaip atsarginė kitoms gavimo direktyvoms. Jei konkreti direktyva (pvz., script-src, img-src) nėra apibrėžta, bus taikoma default-src politika. Gera praktika yra nustatyti ribojančią default-src, siekiant sumažinti netikėto išteklių įkėlimo riziką.

Pavyzdys:

default-src 'self';

Ši politika pagal nutylėjimą leidžia išteklius iš tos pačios kilmės. Bet kokie kiti išteklių tipai bus blokuojami, nebent juos leidžia konkretesnė direktyva.

style-src

Nors style-src direktyva pirmiausia skirta CSS šaltinių valdymui, ji gali netiesiogiai paveikti „JavaScript“ saugumą, jei jūsų CSS yra išraiškų ar naudoja funkcijas, kuriomis galima pasinaudoti. Panašiai kaip ir script-src, turėtumėte apriboti savo stilių lentelių šaltinius.

Pavyzdys:

style-src 'self' https://fonts.googleapis.com;

Ši politika leidžia stilių lenteles iš tos pačios kilmės ir iš „Google Fonts“.

object-src

object-src direktyva kontroliuoja įskiepių, tokių kaip „Flash“, šaltinius. Nors „Flash“ tampa vis retesnis, vis tiek svarbu apriboti įskiepių šaltinius, kad būtų išvengta kenkėjiško turinio įkėlimo. Paprastai rekomenduojama nustatyti šią reikšmę į 'none', nebent turite konkretų poreikį įskiepiams.

Pavyzdys:

object-src 'none';

Ši politika draudžia visus įskiepius.

Geriausios praktikos diegiant CSP su „JavaScript“

Efektyvus CSP diegimas reikalauja kruopštaus planavimo ir svarstymo. Štai keletas geriausių praktikų, kurių reikėtų laikytis:

1. Pradėkite nuo ataskaitų teikimo politikos

Prieš pradedant taikyti CSP, labai rekomenduojama pradėti nuo ataskaitų teikimo (report-only) politikos. Tai leidžia stebėti jūsų politikos poveikį, faktiškai neblokuojant jokių išteklių. Galite naudoti Content-Security-Policy-Report-Only antraštę, kad apibrėžtumėte ataskaitų teikimo politiką. Politikos pažeidimai bus pranešami nurodytu URI naudojant report-uri direktyvą.

Pavyzdys:

Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint;

Ši politika praneša apie pažeidimus į /csp-report-endpoint, neblokuodama jokių išteklių.

2. Venkite 'unsafe-inline' ir 'unsafe-eval'

Kaip minėta anksčiau, 'unsafe-inline' ir 'unsafe-eval' žymiai silpnina CSP ir jų reikėtų vengti, kai tik įmanoma. Įterptieji scenarijai ir eval() yra dažni XSS atakų taikiniai. Jei privalote naudoti įterptuosius scenarijus, apsvarstykite galimybę naudoti nonces arba maišas.

3. Įterptiesiems scenarijams naudokite Nonces arba maišas

Nonces ir maišos suteikia saugesnį būdą leisti įterptuosius scenarijus. Nonce yra atsitiktinė, vienkartinio naudojimo eilutė, kuri pridedama prie <script> žymės ir įtraukiama į CSP antraštę. Maiša yra kriptografinė scenarijaus turinio maiša, kuri taip pat įtraukiama į CSP antraštę.

Pavyzdys naudojant Nonces:

HTML:

<script nonce="randomNonceValue">console.log('Inline script');</script>

CSP antraštė:

script-src 'self' 'nonce-randomNonceValue';

Pavyzdys naudojant maišas:

HTML:

<script>console.log('Inline script');</script>

CSP antraštė:

script-src 'self' 'sha256-uniqueHashValue'; (Pakeiskite `uniqueHashValue` faktine scenarijaus turinio SHA256 maiša)

Pastaba: Teisingos scenarijaus maišos generavimas gali būti automatizuotas naudojant kūrimo įrankius arba serverio pusės kodą. Taip pat atkreipkite dėmesį, kad bet koks scenarijaus turinio pakeitimas pareikalaus maišos perskaičiavimo ir atnaujinimo.

4. Būkite konkretūs nurodydami kilmę

Venkite naudoti pakaitos simbolius (*) savo CSP direktyvose. Vietoj to, nurodykite tikslias kilmes, kurias norite leisti. Tai sumažina riziką netyčia leisti nepatikimus šaltinius.

Pavyzdys:

Vietoj:

script-src *; (Tai labai nerekomenduojama)

Naudokite:

script-src 'self' https://cdn.example.com https://api.example.com;

5. Reguliariai peržiūrėkite ir atnaujinkite savo CSP

Jūsų CSP turėtų būti reguliariai peržiūrima ir atnaujinama, kad atspindėtų jūsų žiniatinklio programos pokyčius ir besikeičiančią grėsmių aplinką. Pridėdami naujų funkcijų ar integruodamiesi su naujomis paslaugomis, gali tekti koreguoti savo CSP, kad leistumėte reikalingus išteklius.

6. Naudokite CSP generatorių ar valdymo įrankį

Keletas internetinių įrankių ir naršyklės plėtinių gali padėti jums generuoti ir valdyti CSP. Šie įrankiai gali supaprastinti stiprios CSP kūrimo ir palaikymo procesą.

7. Kruopščiai išbandykite savo CSP

Įdiegę ar atnaujinę savo CSP, kruopščiai išbandykite savo žiniatinklio programą, kad įsitikintumėte, jog visi ištekliai įkeliami teisingai ir jokia funkcionalumas nesutriko. Naudokite naršyklės kūrėjo įrankius, kad nustatytumėte bet kokius CSP pažeidimus ir atitinkamai pakoreguotumėte savo politiką.

Praktiniai CSP diegimo pavyzdžiai

Panagrinėkime keletą praktinių CSP diegimo pavyzdžių skirtingiems scenarijams:

1 pavyzdys: Paprasta svetainė su CDN

Paprasta svetainė, kuri naudoja CDN „JavaScript“ ir CSS failams:

CSP antraštė:

default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self' https://fonts.gstatic.com;

Ši politika leidžia:

• Išteklius iš tos pačios kilmės.
• Scenarijus ir stilių lenteles iš https://cdn.example.com.
• Paveikslėlius iš tos pačios kilmės ir duomenų URI.
• Šriftus iš tos pačios kilmės ir „Google Fonts“ (https://fonts.gstatic.com).

2 pavyzdys: Svetainė su įterptaisiais scenarijais ir stiliais

Svetainė, kuri naudoja įterptuosius scenarijus ir stilius su nonces:

HTML:

<script nonce="uniqueNonce123">console.log('Inline script');</script> <style nonce="uniqueNonce456">body { background-color: #f0f0f0; }</style>

CSP antraštė:

default-src 'self'; script-src 'self' 'nonce-uniqueNonce123'; style-src 'self' 'nonce-uniqueNonce456'; img-src 'self' data:;

Ši politika leidžia:

• Išteklius iš tos pačios kilmės.
• Įterptuosius scenarijus su nonce „uniqueNonce123“.
• Įterptuosius stilius su nonce „uniqueNonce456“.
• Paveikslėlius iš tos pačios kilmės ir duomenų URI.

3 pavyzdys: Svetainė su griežta CSP

Svetainė, siekianti labai griežtos CSP:

CSP antraštė:

default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; base-uri 'self'; form-action 'self';

Ši politika leidžia:

• Tik išteklius iš tos pačios kilmės ir aiškiai išjungia visus kitus išteklių tipus, nebent jie yra konkrečiai leidžiami.
• Ji taip pat taiko papildomas saugumo priemones, tokias kaip bazinio URI ir formos veiksmų apribojimas iki tos pačios kilmės.

CSP ir šiuolaikinės „JavaScript“ karkasai (React, Angular, Vue.js)

Naudojant šiuolaikinius „JavaScript“ karkasus, tokius kaip React, Angular ar Vue.js, CSP diegimas reikalauja ypatingo dėmesio. Šie karkasai dažnai naudoja tokias technikas kaip įterptieji stiliai, dinaminis kodo generavimas ir eval(), kurios gali būti problemiškos CSP.

React

React paprastai naudoja įterptuosius stilius komponentų stilizavimui. Norėdami tai išspręsti, galite naudoti CSS-in-JS bibliotekas, kurios palaiko nonces ar maišas, arba galite perkelti savo stilius į išorinius CSS failus.

Angular

Angular „Just-In-Time“ (JIT) kompiliavimas remiasi eval(), kuris yra nesuderinamas su griežta CSP. Norėdami tai įveikti, turėtumėte naudoti „Ahead-Of-Time“ (AOT) kompiliavimą, kuris kompiliuoja jūsų programą kūrimo proceso metu ir pašalina eval() poreikį vykdymo metu.

Vue.js

Vue.js taip pat naudoja įterptuosius stilius ir dinaminį kodo generavimą. Panašiai kaip ir React, galite naudoti CSS-in-JS bibliotekas arba perkelti savo stilius į išorinius failus. Dinaminio kodo generavimui apsvarstykite galimybę naudoti Vue.js šablonų kompiliatorių kūrimo proceso metu.

CSP ataskaitų teikimas

CSP ataskaitų teikimas yra esminė diegimo proceso dalis. Konfigūruodami report-uri arba report-to direktyvą, galite gauti ataskaitas apie CSP pažeidimus. Šios ataskaitos gali padėti jums nustatyti ir ištaisyti bet kokias problemas su jūsų politika.

report-uri direktyva nurodo URL, į kurį naršyklė turėtų siųsti CSP pažeidimų ataskaitas kaip JSON duomenis. Ši direktyva yra pasenusi ir ją keičia report-to.

report-to direktyva nurodo grupės pavadinimą, apibrėžtą Report-To antraštėje. Ši antraštė leidžia konfigūruoti įvairius ataskaitų teikimo galinius punktus ir nustatyti jų prioritetus.

Pavyzdys naudojant report-uri:

Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint;

Pavyzdys naudojant report-to:

Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"/csp-report-endpoint"}]} Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

Įrankiai ir ištekliai

Keletas įrankių ir išteklių gali padėti jums įdiegti ir valdyti CSP:

• CSP vertintuvas: Įrankis jūsų CSP analizei ir vertinimui.
• CSP generatorius: Įrankis CSP antraštėms generuoti.
• Naršyklės kūrėjo įrankiai: Dauguma naršyklių turi integruotus kūrėjo įrankius, kurie gali padėti nustatyti CSP pažeidimus.
• Mozilla Observatory: Svetainė, teikianti saugumo rekomendacijas svetainėms, įskaitant CSP.

Dažniausios klaidos ir kaip jų išvengti

CSP diegimas gali būti sudėtingas, ir yra keletas dažniausių klaidų, kurių reikėtų vengti:

• Per daug leidžiančios politikos: Venkite naudoti pakaitos simbolius arba 'unsafe-inline' ir 'unsafe-eval', nebent tai yra absoliučiai būtina.
• Neteisingas Nonce/maišos generavimas: Užtikrinkite, kad jūsų nonces būtų atsitiktiniai ir unikalūs, o maišos būtų teisingai apskaičiuotos.
• Nepakankamas testavimas: Visada išbandykite savo CSP po jos įdiegimo ar atnaujinimo, kad įsitikintumėte, jog visi ištekliai įkeliami teisingai.
• CSP ataskaitų ignoravimas: Reguliariai peržiūrėkite ir analizuokite savo CSP ataskaitas, kad nustatytumėte ir ištaisytumėte bet kokias problemas.
• Neatsižvelgimas į karkasų specifiką: Atsižvelkite į specifinius „JavaScript“ karkasų, kuriuos naudojate, reikalavimus ir apribojimus.

Išvada

Turinio saugumo politika (CSP) yra galingas įrankis, skirtas pagerinti žiniatinklio programų saugumą ir sušvelninti XSS atakas. Kruopščiai apibrėždami CSP ir laikydamiesi geriausių praktikų, galite žymiai sumažinti kodo įterpimo pažeidžiamumų riziką ir apsaugoti savo vartotojus nuo kenkėjiško turinio. Nepamirškite pradėti nuo ataskaitų teikimo politikos, venkite 'unsafe-inline' ir 'unsafe-eval', būkite konkretūs nurodydami kilmę ir reguliariai peržiūrėkite bei atnaujinkite savo CSP. Efektyviai įdiegę CSP, galite sukurti saugesnę ir patikimesnę žiniatinklio aplinką savo vartotojams.

Šiame vadove buvo pateikta išsami CSP diegimo „JavaScript“ apžvalga. Žiniatinklio saugumas yra nuolat besikeičianti sritis, todėl labai svarbu būti informuotam apie naujausias geriausias praktikas ir saugumo gaires. Apsaugokite savo žiniatinklio programą šiandien, įdiegdami tvirtą CSP ir apsaugodami savo vartotojus nuo galimų grėsmių.