Безпека фронтенду: запобігання XSS та політика безпеки контенту (CSP)

У сучасному світі веб-розробки безпека фронтенду має першорядне значення. Оскільки веб-додатки стають все складнішими та інтерактивнішими, вони також стають більш вразливими до різноманітних атак, зокрема до міжсайтового скриптингу (XSS). Ця стаття є вичерпним посібником з розуміння та пом'якшення вразливостей XSS, а також впровадження політики безпеки контенту (CSP) як надійного механізму захисту.

Розуміння міжсайтового скриптингу (XSS)

Що таке XSS?

Міжсайтовий скриптинг (XSS) — це тип ін'єкційної атаки, під час якої шкідливі скрипти впроваджуються на надійні та безпечні веб-сайти. XSS-атаки відбуваються, коли зловмисник використовує веб-додаток для надсилання шкідливого коду, зазвичай у формі браузерного скрипта, іншому кінцевому користувачеві. Вразливості, що дозволяють цим атакам бути успішними, є досить поширеними і виникають скрізь, де веб-додаток використовує вхідні дані від користувача у вихідних даних, які він генерує, без їх валідації чи екранування.

Уявіть собі популярний онлайн-форум, де користувачі можуть залишати коментарі. Якщо форум неналежним чином санітизує введені користувачами дані, зловмисник може впровадити шкідливий фрагмент JavaScript у коментар. Коли інші користувачі переглядають цей коментар, шкідливий скрипт виконується в їхніх браузерах, потенційно викрадаючи їхні файли cookie, перенаправляючи їх на фішингові сайти або спотворюючи вигляд веб-сайту.

Типи XSS-атак

Відбитий XSS (Reflected XSS): Шкідливий скрипт впроваджується в один запит. Сервер зчитує впроваджені дані з HTTP-запиту і «відбиває» їх назад користувачеві, виконуючи скрипт у його браузері. Це часто досягається за допомогою фішингових електронних листів, що містять шкідливі посилання.
Збережений XSS (Stored XSS): Шкідливий скрипт зберігається на цільовому сервері (наприклад, у базі даних, дописі на форумі або в розділі коментарів). Коли інші користувачі отримують доступ до збережених даних, скрипт виконується в їхніх браузерах. Цей тип XSS є особливо небезпечним, оскільки він може вплинути на велику кількість користувачів.
XSS на основі DOM (DOM-based XSS): Вразливість існує безпосередньо в клієнтському коді JavaScript. Атака маніпулює DOM (об'єктною моделлю документа) у браузері жертви, змушуючи виконуватися шкідливий скрипт. Це часто включає маніпуляції з URL-адресами або іншими даними на стороні клієнта.

Наслідки XSS-атак

Наслідки успішної XSS-атаки можуть бути серйозними:

Крадіжка файлів cookie: Зловмисники можуть викрасти файли cookie користувачів, отримуючи доступ до їхніх облікових записів та конфіденційної інформації.
Захоплення облікового запису: За допомогою викрадених файлів cookie зловмисники можуть видавати себе за користувачів і виконувати дії від їхнього імені.
Дефейс веб-сайту: Зловмисники можуть змінювати зовнішній вигляд веб-сайту, поширюючи дезінформацію або завдаючи шкоди репутації бренду.
Перенаправлення на фішингові сайти: Користувачі можуть бути перенаправлені на шкідливі веб-сайти, які викрадають їхні облікові дані або встановлюють шкідливе програмне забезпечення.
Витік даних: Конфіденційні дані, що відображаються на сторінці, можуть бути викрадені та надіслані на сервер зловмисника.

Техніки запобігання XSS

Запобігання XSS-атакам вимагає багатошарового підходу, що зосереджується як на валідації вхідних даних, так і на екрануванні вихідних.

Валідація вхідних даних

Валідація вхідних даних — це процес перевірки того, що введені користувачем дані відповідають очікуваному формату та типу даних. Хоча це не є стовідсотковим захистом від XSS, це допомагає зменшити поверхню атаки.

Валідація за білим списком: Визначте суворий набір дозволених символів та шаблонів. Відхиляйте будь-які вхідні дані, що не відповідають білому списку. Наприклад, якщо ви очікуєте, що користувач введе ім'я, дозволяйте лише літери, пробіли та, можливо, дефіси.
Валідація за чорним списком: Визначайте та блокуйте відомі шкідливі символи чи шаблони. Однак чорні списки часто є неповними, і вмілі зловмисники можуть їх обійти. Валідація за білим списком є загалом кращим варіантом, ніж валідація за чорним списком.
Валідація типу даних: Переконайтеся, що вхідні дані відповідають очікуваному типу даних (наприклад, ціле число, адреса електронної пошти, URL).
Обмеження довжини: Встановіть максимальну довжину для полів введення, щоб запобігти вразливостям переповнення буфера.

Приклад (PHP):


<?php
$username = $_POST['username'];

// Валідація за білим списком: Дозволити лише буквено-цифрові символи та підкреслення
if (preg_match('/^[a-zA-Z0-9_]+$/', $username)) {
  // Валідне ім'я користувача
  echo "Valid username: " . htmlspecialchars($username, ENT_QUOTES, 'UTF-8');
} else {
  // Невалідне ім'я користувача
  echo "Invalid username. Only alphanumeric characters and underscores are allowed.";
}
?>

Екранування вихідних даних

Екранування вихідних даних — це процес перетворення спеціальних символів на їхні еквіваленти у вигляді HTML-сутностей або URL-кодованих значень. Це не дозволяє браузеру інтерпретувати ці символи як код.

HTML-екранування: Екрануйте символи, що мають спеціальне значення в HTML, такі як <, >, &, ", та '. Використовуйте функції, такі як htmlspecialchars() у PHP або еквівалентні методи в інших мовах.
URL-екранування: Кодуйте символи, що мають спеціальне значення в URL-адресах, такі як пробіли, слеші та знаки питання. Використовуйте функції, такі як urlencode() у PHP або еквівалентні методи в інших мовах.
JavaScript-екранування: Екрануйте символи, що мають спеціальне значення в JavaScript, такі як одинарні лапки, подвійні лапки та зворотні слеші. Використовуйте функції, такі як JSON.stringify(), або бібліотеки, як-от ESAPI (Encoder).

Приклад (JavaScript - HTML-екранування):


function escapeHTML(str) {
  let div = document.createElement('div');
  div.appendChild(document.createTextNode(str));
  return div.innerHTML;
}

let userInput = '<script>alert("XSS");</script>';
let encodedInput = escapeHTML(userInput);

// Виводимо екрановані дані в DOM
document.getElementById('output').innerHTML = encodedInput; // Вивід: &lt;script&gt;alert(&quot;XSS&quot;);&lt;/script&gt;

Приклад (Python - HTML-екранування):


import html

user_input = '<script>alert("XSS");</script>'
encoded_input = html.escape(user_input)

print(encoded_input) # Вивід: &lt;script&gt;alert(&quot;XSS&quot;);&lt;/script&gt;

Контекстно-залежне екранування

Тип екранування, який ви використовуєте, залежить від контексту, в якому відображаються дані. Наприклад, якщо ви відображаєте дані в атрибуті HTML, вам потрібно використовувати екранування для атрибутів HTML. Якщо ви відображаєте дані в рядку JavaScript, вам потрібно використовувати екранування для рядків JavaScript.

Приклад:


<input type="text" value="<?php echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8'); ?>">

У цьому прикладі значення параметра name з URL відображається в атрибуті value поля введення. Функція htmlspecialchars() гарантує, що будь-які спеціальні символи в параметрі name будуть належним чином екрановані, запобігаючи XSS-атакам.

Використання шаблонізаторів

Багато сучасних веб-фреймворків та шаблонізаторів (наприклад, React, Angular, Vue.js, Twig, Jinja2) надають механізми автоматичного екранування вихідних даних. Ці механізми автоматично екранують змінні під час їх рендерингу в шаблонах, знижуючи ризик вразливостей XSS. Завжди використовуйте вбудовані функції екранування вашого шаблонізатора.

Політика безпеки контенту (CSP)

Що таке CSP?

Політика безпеки контенту (Content Security Policy, CSP) — це додатковий рівень безпеки, який допомагає виявляти та пом'якшувати певні типи атак, включаючи міжсайтовий скриптинг (XSS) та атаки з ін'єкцією даних. CSP працює, дозволяючи вам визначити білий список джерел, з яких браузер може завантажувати ресурси. Цей білий список може включати домени, протоколи і навіть конкретні URL-адреси.

За замовчуванням браузери дозволяють веб-сторінкам завантажувати ресурси з будь-якого джерела. CSP змінює цю поведінку за замовчуванням, обмежуючи джерела, з яких можна завантажувати ресурси. Якщо веб-сайт намагається завантажити ресурс з джерела, якого немає в білому списку, браузер заблокує запит.

Як працює CSP

CSP реалізується шляхом надсилання HTTP-заголовка відповіді від сервера до браузера. Заголовок містить список директив, кожна з яких визначає політику для певного типу ресурсу.

Приклад заголовка CSP:


Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self';

Цей заголовок визначає такі політики:

default-src 'self': Дозволяє завантажувати ресурси тільки з того ж джерела (домену), що й веб-сторінка.
script-src 'self' https://example.com: Дозволяє завантажувати JavaScript з того ж джерела та з https://example.com.
style-src 'self' https://cdn.example.com: Дозволяє завантажувати CSS з того ж джерела та з https://cdn.example.com.
img-src 'self' data:: Дозволяє завантажувати зображення з того ж джерела та з data URI (зображення, закодовані в base64).
font-src 'self': Дозволяє завантажувати шрифти з того ж джерела.

Директиви CSP

Ось деякі з найчастіше використовуваних директив CSP:

default-src: Встановлює політику за замовчуванням для всіх типів ресурсів.
script-src: Визначає джерела, з яких можна завантажувати JavaScript.
style-src: Визначає джерела, з яких можна завантажувати CSS.
img-src: Визначає джерела, з яких можна завантажувати зображення.
font-src: Визначає джерела, з яких можна завантажувати шрифти.
connect-src: Визначає джерела, до яких клієнт може підключатися (наприклад, через WebSockets, XMLHttpRequest).
media-src: Визначає джерела, з яких можна завантажувати аудіо та відео.
object-src: Визначає джерела, з яких можна завантажувати плагіни (наприклад, Flash).
frame-src: Визначає джерела, які можна вбудовувати як фрейми (<frame>, <iframe>).
base-uri: Обмежує URL-адреси, які можна використовувати в елементі <base> документа.
form-action: Обмежує URL-адреси, на які можна надсилати форми.
upgrade-insecure-requests: Вказує браузеру автоматично оновлювати незахищені запити (HTTP) до захищених (HTTPS).
block-all-mixed-content: Забороняє браузеру завантажувати будь-який змішаний контент (HTTP-контент, завантажений через HTTPS).
report-uri: Вказує URL-адресу, на яку браузер повинен надсилати звіти про порушення, коли політика CSP порушується.
report-to: Вказує назву групи, визначену в заголовку `Report-To`, яка містить кінцеві точки для надсилання звітів про порушення. Більш сучасна та гнучка заміна для `report-uri`.

Значення списку джерел CSP

Кожна директива CSP приймає список значень джерел, які визначають дозволені джерела або ключові слова.

'self': Дозволяє ресурси з того ж джерела, що й веб-сторінка.
'none': Забороняє ресурси з усіх джерел.
'unsafe-inline': Дозволяє вбудований JavaScript та CSS. Цього слід уникати, коли це можливо, оскільки це послаблює захист від XSS.
'unsafe-eval': Дозволяє використання eval() та пов'язаних функцій. Цього також слід уникати, оскільки це може створити вразливості безпеки.
'strict-dynamic': Вказує, що довіра, явно надана скрипту в розмітці через супровідний nonce або хеш, повинна поширюватися на всі скрипти, завантажені цим кореневим скриптом.
https://example.com: Дозволяє ресурси з певного домену.
*.example.com: Дозволяє ресурси з будь-якого субдомену певного домену.
data:: Дозволяє data URI (зображення, закодовані в base64).
mediastream:: Дозволяє URI mediastream: для media-src.
blob:: Дозволяє URI blob: (використовується для бінарних даних, що зберігаються в пам'яті браузера).
filesystem:: Дозволяє URI filesystem: (використовується для доступу до файлів, що зберігаються в пісочниці файлової системи браузера).
nonce-{random-value}: Дозволяє вбудовані скрипти або стилі, які мають відповідний атрибут nonce.
sha256-{hash-value}: Дозволяє вбудовані скрипти або стилі, які мають відповідний хеш sha256.

Впровадження CSP

Існує кілька способів впровадження CSP:

HTTP-заголовок: Найпоширеніший спосіб впровадження CSP — це встановлення HTTP-заголовка Content-Security-Policy у відповіді сервера.
Мета-тег: CSP також можна визначити за допомогою мета-тегу <meta> в HTML-документі. Однак цей метод є менш гнучким і має деякі обмеження (наприклад, його не можна використовувати для визначення директиви frame-ancestors).

Приклад (Встановлення CSP через HTTP-заголовок - Apache):

У вашому конфігураційному файлі Apache (наприклад, .htaccess або httpd.conf) додайте наступний рядок:


Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self';"

Приклад (Встановлення CSP через HTTP-заголовок - Nginx):

У вашому конфігураційному файлі Nginx (наприклад, nginx.conf) додайте наступний рядок до блоку server:


add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self';";

Приклад (Встановлення CSP через мета-тег):


<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com; style-src 'self' https://cdn.example.com; img-src 'self' data:; font-src 'self';">

Тестування CSP

Дуже важливо тестувати вашу реалізацію CSP, щоб переконатися, що вона працює належним чином. Ви можете використовувати інструменти розробника в браузері, щоб перевірити заголовок Content-Security-Policy та виявити будь-які порушення.

Звітність CSP

Використовуйте директиви `report-uri` або `report-to` для налаштування звітності CSP. Це дозволяє вашому серверу отримувати звіти про порушення політики CSP. Ця інформація може бути неоціненною для виявлення та виправлення вразливостей безпеки.

Приклад (CSP з report-uri):


Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint;

Приклад (CSP з report-to - більш сучасний варіант):


Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"https://your-domain.com/csp-report-endpoint"}]}
Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

Серверна кінцева точка (`/csp-report-endpoint` у цих прикладах) повинна бути налаштована на отримання та обробку цих JSON-звітів, реєструючи їх для подальшого аналізу.

Найкращі практики CSP

Починайте з суворої політики: Почніть з обмежувальної політики, яка дозволяє ресурси лише з того ж джерела (default-src 'self'). Поступово послаблюйте політику за потребою, додаючи конкретні джерела.
Уникайте 'unsafe-inline' та 'unsafe-eval': Ці директиви значно послаблюють захист від XSS. Намагайтеся уникати їх, коли це можливо. Використовуйте nonce або хеші для вбудованих скриптів та стилів і уникайте використання eval().
Використовуйте nonce або хеші для вбудованих скриптів та стилів: Якщо вам необхідно використовувати вбудовані скрипти або стилі, використовуйте nonce або хеші, щоб додати їх до білого списку.
Використовуйте звітність CSP: Налаштуйте звітність CSP для отримання повідомлень про порушення політики. Це допоможе вам виявляти та виправляти вразливості безпеки.
Ретельно тестуйте свою реалізацію CSP: Використовуйте інструменти розробника в браузері для перевірки заголовка Content-Security-Policy та виявлення будь-яких порушень.
Використовуйте генератор CSP: Існує кілька онлайн-інструментів, які можуть допомогти вам згенерувати заголовки CSP на основі ваших конкретних вимог.
Моніторте звіти CSP: Регулярно переглядайте звіти CSP для виявлення потенційних проблем безпеки та вдосконалення вашої політики.
Підтримуйте свою CSP в актуальному стані: У міру розвитку вашого веб-сайту не забувайте оновлювати CSP, щоб відображати будь-які зміни в залежностях ресурсів.
Розгляньте можливість використання лінтера для політики безпеки контенту (CSP): Інструменти, такі як `csp-html-webpack-plugin` або розширення для браузерів, можуть допомогти перевірити та оптимізувати вашу конфігурацію CSP.
Впроваджуйте CSP поступово (режим "лише звітування"): Спочатку розгортайте CSP у режимі «лише звітування» за допомогою заголовка `Content-Security-Policy-Report-Only`. Це дозволяє вам відстежувати потенційні порушення політики, не блокуючи ресурси. Аналізуйте звіти, щоб налаштувати вашу CSP перед її примусовим застосуванням.

Приклад (реалізація Nonce):

На стороні сервера (генерація Nonce):


<?php
$nonce = base64_encode(random_bytes(16));
?>

HTML:


<script nonce="<?php echo $nonce; ?>">
  // Ваш вбудований скрипт тут
  console.log('Inline script with nonce');
</script>

Заголовок CSP:


Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-<?php echo $nonce; ?>';

CSP та сторонні бібліотеки

При використанні сторонніх бібліотек або CDN, не забудьте включити їхні домени до вашої політики CSP. Наприклад, якщо ви використовуєте jQuery з CDN, вам потрібно буде додати домен CDN до директиви script-src.

Однак, сліпе додавання цілих CDN до білого списку може створити ризики для безпеки. Розгляньте можливість використання цілісності підресурсів (Subresource Integrity, SRI) для перевірки цілісності файлів, завантажених з CDN.

Цілісність підресурсів (SRI)

SRI — це функція безпеки, яка дозволяє браузерам перевіряти, чи не були змінені файли, отримані з CDN або інших сторонніх джерел. SRI працює шляхом порівняння криптографічного хеша отриманого файлу з відомим хешем. Якщо хеші не збігаються, браузер заблокує завантаження файлу.

Приклад:


<script src="https://example.com/jquery.min.js" integrity="sha384-example-hash" crossorigin="anonymous"></script>

Атрибут integrity містить криптографічний хеш файлу jquery.min.js. Атрибут crossorigin є обов'язковим для роботи SRI з файлами, що обслуговуються з різних джерел.

Висновок

Безпека фронтенду — це критично важливий аспект веб-розробки. Розуміючи та впроваджуючи техніки запобігання XSS та політику безпеки контенту (CSP), ви можете значно зменшити ризик атак та захистити дані ваших користувачів. Не забувайте застосовувати багатошаровий підхід, поєднуючи валідацію вхідних даних, екранування вихідних, CSP та інші найкращі практики безпеки. Продовжуйте навчатися та бути в курсі останніх загроз безпеці та технік їх пом'якшення, щоб створювати безпечні та надійні веб-додатки.

Цей посібник дає базове розуміння запобігання XSS та CSP. Пам'ятайте, що безпека — це безперервний процес, і постійне навчання є важливим для того, щоб випереджати потенційні загрози. Впроваджуючи ці найкращі практики, ви можете створити більш безпечний та надійний веб-досвід для ваших користувачів.