Veb-xavfsizlik sarlavhalari: Kontent xavfsizlik siyosati va JavaScript ijrosi

Bugungi murakkab raqamli dunyoda veb-ilova xavfsizligi juda muhim. Turli hujumlarga, ayniqsa Saytlararo skriptingga (XSS) qarshi eng samarali himoya vositalaridan biri bu Veb-xavfsizlik sarlavhalaridan foydalanishdir. Ular orasida Kontent xavfsizlik siyosati (CSP) brauzerga ma'lum bir sahifa uchun qaysi resurslarni yuklashga ruxsat berilganligini nazorat qilish uchun kuchli mexanizm sifatida ajralib turadi. Ushbu maqola veb-ilovalaringiz va foydalanuvchilaringizni himoya qilish uchun CSPni samarali tushunish va joriy etish bo‘yicha to‘liq qo‘llanmani taqdim etadi.

Veb-xavfsizlik sarlavhalarini tushunish

Veb-xavfsizlik sarlavhalari – bu brauzerga ma'lum turdagi kontent bilan ishlashda o'zini qanday tutish kerakligi haqida ko'rsatmalar beruvchi HTTP javob sarlavhalaridir. Ular xavflarni kamaytirish uchun boshqa xavfsizlik choralari bilan birgalikda ishlaydigan chuqur himoya strategiyasining muhim qismidir.

Eng ko‘p ishlatiladigan veb-xavfsizlik sarlavhalaridan ba'zilari quyidagilardir:

• Kontent xavfsizlik siyosati (CSP): Foydalanuvchi agentiga yuklashga ruxsat berilgan resurslarni nazorat qiladi.
• HTTP qat'iy transport xavfsizligi (HSTS): Brauzerlarni HTTPSdan foydalanishga majbur qiladi.
• X-Frame-Options: Klikjeking hujumlaridan himoya qiladi.
• X-Content-Type-Options: MIME-sniffing zaifliklarining oldini oladi.
• Referrer-Policy: So'rovlar bilan qancha referrer ma'lumoti kiritilishi kerakligini nazorat qiladi.
• Permissions-Policy (avvalgi Feature-Policy): Brauzer funksiyalari ustidan batafsil nazoratni ta'minlaydi.

Ushbu maqola asosan Kontent xavfsizlik siyosati (CSP) va uning JavaScript ijrosiga ta'siriga qaratilgan.

Kontent xavfsizlik siyosati (CSP) nima?

CSP – bu brauzerga qaysi manbalardan resurslarni yuklashga ruxsat berilganligini belgilash imkonini beruvchi HTTP javob sarlavhasi. Bunga JavaScript, CSS, tasvirlar, shriftlar va boshqa aktivlar kiradi. Ushbu ishonchli manbalarni aniq belgilash orqali siz veb-saytingizga zararli skriptlar kiritilib, foydalanuvchilaringiz brauzerlari kontekstida bajariladigan XSS hujumlari xavfini sezilarli darajada kamaytirishingiz mumkin.

CSPni brauzeringiz uchun xavfsizlik devori deb o‘ylang, lekin u tarmoq trafigini bloklash o‘rniga ishonchsiz kodning bajarilishini bloklaydi.

Nima uchun CSP JavaScript ijrosi uchun muhim?

JavaScript dinamik va interaktiv veb-tajribalar yaratish uchun ishlatilishi mumkin bo'lgan kuchli tildir. Biroq, uning moslashuvchanligi uni hujumchilar uchun asosiy nishonga aylantiradi. XSS hujumlari ko'pincha veb-saytga zararli JavaScript kodini kiritishni o'z ichiga oladi, bu esa keyinchalik foydalanuvchi ma'lumotlarini o'g'irlash, foydalanuvchilarni fishing saytlariga yo'naltirish yoki veb-saytni buzish uchun ishlatilishi mumkin.

CSP JavaScript-ni yuklash va ijro etish mumkin bo'lgan manbalarni cheklash orqali bu hujumlarning oldini samarali olishi mumkin. Odatiy bo'lib, CSP barcha inline JavaScript (<script> teglari ichidagi kod) va tashqi domenlardan yuklangan JavaScript-ni bloklaydi. Keyin siz CSP direktivalari yordamida ishonchli manbalarni tanlab yoqasiz.

CSP direktivalari: Siyosatingizning qurilish bloklari

CSP direktivalari yuklashga ruxsat berilgan resurslar turlarini va ularni yuklash mumkin bo'lgan manbalarni belgilaydi. Bu yerda eng muhim direktivalardan ba'zilari keltirilgan:

• default-src: Boshqa yuklash direktivalari uchun zaxira vazifasini bajaradi. Agar ma'lum bir direktiva aniqlanmagan bo'lsa, default-src ishlatiladi.
• script-src: JavaScript kodi uchun ruxsat etilgan manbalarni belgilaydi.
• style-src: CSS uslublar jadvallari uchun ruxsat etilgan manbalarni belgilaydi.
• img-src: Rasmlar uchun ruxsat etilgan manbalarni belgilaydi.
• font-src: Shriftlar uchun ruxsat etilgan manbalarni belgilaydi.
• media-src: Audio va video fayllar uchun ruxsat etilgan manbalarni belgilaydi.
• object-src: Plaginlar (masalan, Flash) uchun ruxsat etilgan manbalarni belgilaydi.
• frame-src: Freymlar (<frame>, <iframe>) uchun ruxsat etilgan manbalarni belgilaydi.
• connect-src: Tarmoq so'rovlari (masalan, XMLHttpRequest, Fetch API, WebSockets) uchun ruxsat etilgan manbalarni belgilaydi.
• base-uri: Hujjatning <base> elementida ishlatilishi mumkin bo'lgan URL manzillarini cheklaydi.
• form-action: Formalarni yuborish mumkin bo'lgan URL manzillarini cheklaydi.
• upgrade-insecure-requests: Brauzerga barcha xavfsiz bo'lmagan URL manzillarni (HTTP) xavfsiz URL manzillarga (HTTPS) yangilashni buyuradi.
• block-all-mixed-content: Sahifa HTTPS orqali yuklanganda brauzerning HTTP yordamida har qanday resurslarni yuklashini oldini oladi.

Har bir direktiva turli xil manba ifodalarini qabul qilishi mumkin, jumladan:

• *: Har qanday manbadan resurslarga ruxsat beradi (odatda tavsiya etilmaydi).
• 'self': Hujjat bilan bir xil manbadan (sxema, xost va port) resurslarga ruxsat beradi.
• 'none': Barcha manbalardan resurslarni taqiqlaydi.
• 'unsafe-inline': Inline JavaScript va CSSdan foydalanishga ruxsat beradi (qat'iyan tavsiya etilmaydi).
• 'unsafe-eval': eval() va unga bog'liq funksiyalardan foydalanishga ruxsat beradi (qat'iyan tavsiya etilmaydi).
• 'unsafe-hashes': Ularning SHA256, SHA384 yoki SHA512 xeshiga asoslangan ma'lum inline hodisa ishlovchilariga ruxsat beradi (ehtiyotkorlik bilan foydalaning).
• data:: ma'lumotlar: URI-lariga ruxsat beradi (masalan, base64 sifatida kodlangan inline tasvirlar).
• https://example.com: Ko'rsatilgan domendan (va ixtiyoriy ravishda portdan) HTTPS orqali resurslarga ruxsat beradi.
• *.example.com: example.com ning har qanday quyi domenidan resurslarga ruxsat beradi.
• nonce-{random-value}: Mos keladigan nonce atributiga ega bo'lgan ma'lum inline skriptlar yoki uslublarga ruxsat beradi (inline kod uchun tavsiya etiladi).
• sha256-{hash-value}: Mos keladigan SHA256 xeshiga ega bo'lgan ma'lum inline skriptlar yoki uslublarga ruxsat beradi (noncelarga alternativa).

CSPni joriy etish: Amaliy misollar

CSPni joriy etishning ikkita asosiy usuli mavjud:

1. HTTP sarlavhasi: HTTP javobida Content-Security-Policy sarlavhasini yuborish. Bu afzal ko'rilgan usuldir.
2. <meta> tegi: HTML hujjatining <head> bo'limida <meta> tegidan foydalanish. Bu usul cheklovlarga ega va odatda tavsiya etilmaydi.

HTTP sarlavhasidan foydalanish

CSP sarlavhasini o'rnatish uchun veb-serveringizni sozlashingiz kerak. Aniq qadamlar serveringizga (masalan, Apache, Nginx, IIS) qarab farq qiladi.

Bu yerda CSP sarlavhalariga ba'zi misollar keltirilgan:

Asosiy CSP

Ushbu siyosat faqat bir xil manbadan resurslarga ruxsat beradi:

            Content-Security-Policy: default-src 'self';
            

              
                Copy
              
            
          

Maxsus domenlardan resurslarga ruxsat berish

Ushbu siyosat https://cdn.example.com dan JavaScript-ga va https://images.example.net dan tasvirlarga ruxsat beradi:

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; img-src 'self' https://images.example.net;
            

              
                Copy
              
            
          

Inline skriptlar uchun Noncelardan foydalanish

Ushbu siyosat mos keladigan nonce atributiga ega inline skriptlarga ruxsat beradi:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3';
            

              
                Copy
              
            
          

Sizning HTML-da:

            <script nonce="rAnd0mN0nc3">
 // Sizning inline skriptingiz
</script>
            

              
                Copy
              
            
          

Eslatma: Hujumchilarning CSPni chetlab o'tishini oldini olish uchun nonce qiymati har bir so'rov uchun tasodifiy ravishda yaratilishi kerak.

Inline skriptlar uchun xeshlardan foydalanish

Ushbu siyosat ularning SHA256 xeshiga asoslangan ma'lum inline skriptlarga ruxsat beradi:

            Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=';
            

              
                Copy
              
            
          

SHA256 xeshini yaratish uchun siz turli xil onlayn vositalardan yoki buyruqlar satri yordam dasturlaridan (masalan, openssl dgst -sha256 -binary input.js | openssl base64) foydalanishingiz mumkin.

<meta> tegidan foydalanish

Murakkab siyosatlar uchun tavsiya etilmasa ham, <meta> tegi asosiy CSPni o'rnatish uchun ishlatilishi mumkin. Masalan:

            <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
            

              
                Copy
              
            
          

<meta> tegining cheklovlari:

• report-uri direktivasini belgilash uchun ishlatilmaydi.
• HTTP sarlavhasi kabi keng qo'llab-quvvatlanmaydi.
• Murakkab siyosatlar uchun kamroq moslashuvchan va boshqarish qiyinroq.

Faqat hisobot berish (Report-Only) rejimidagi CSP

CSPni majburiy ijro etishdan oldin, Content-Security-Policy-Report-Only sarlavhasidan foydalanish qat'iyan tavsiya etiladi. Bu sizga siyosatingizning ta'sirini hech qanday resurslarni bloklamasdan kuzatish imkonini beradi. Brauzer har qanday qoidabuzarliklar haqida belgilangan URL manziliga xabar beradi, bu sizga siyosatingizni ishlab chiqarishga joylashtirishdan oldin sozlash imkonini beradi.

            Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report;
            

              
                Copy
              
            
          

CSP hisobotlarini qabul qilish va qayta ishlash uchun siz server tomonidagi so‘nggi nuqtani (masalan, /csp-report) sozlashingiz kerak bo‘ladi. Ushbu hisobotlar odatda buzilgan direktiva, bloklangan URI va boshqa tegishli tafsilotlar haqidagi ma'lumotlarni o'z ichiga olgan JSON obyektlaridir.

CSPdagi umumiy xatolar va ulardan qanday qochish kerak

CSPni joriy etish qiyin bo'lishi mumkin va xavfsizligingizni zaiflashtiradigan yoki veb-saytingizni buzadigan xatolarga yo'l qo'yish oson. Quyida oldini olish kerak bo'lgan ba'zi umumiy xatolar keltirilgan:

• 'unsafe-inline' va 'unsafe-eval' dan foydalanish: Ushbu direktivalar aslida CSP tomonidan taqdim etilgan himoyani o'chirib qo'yadi va iloji boricha ulardan qochish kerak. Inline skriptlar uchun noncelar yoki xeshlardan foydalaning va eval() dan foydalanishdan saqlaning.
• * dan foydalanish: Har qanday manbadan resurslarga ruxsat berish CSPning maqsadiga zid keladi. Siyosatingizni belgilashda iloji boricha aniqroq bo'ling.
• Yetarlicha sinovdan o'tkazmaslik: CSPni majburiy ijro etishdan oldin har doim faqat hisobot berish rejimida sinab ko'ring. Hisobotlarni kuzatib boring va siyosatingizni kerak bo'lganda sozlang.
• report-uri ni noto'g'ri sozlash: report-uri so'nggi nuqtangiz CSP hisobotlarini qabul qilish va qayta ishlash uchun to'g'ri sozlanganligiga ishonch hosil qiling.
• CSPni yangilamaslik: Veb-saytingiz rivojlanib borar ekan, sizning CSP resurslaringizdagi o'zgarishlarni aks ettirish uchun yangilanishi kerak bo'lishi mumkin.
• Haddan tashqari cheklovchi siyosatlar: Juda cheklovchi siyosatlar veb-saytingizni buzishi va foydalanuvchilarni bezovta qilishi mumkin. Xavfsizlik va foydalanish qulayligi o'rtasidagi muvozanatni toping.

CSP va uchinchi tomon kutubxonalari

Ko'pgina veb-saytlar CDNs, tahlil provayderlari va ijtimoiy media vidjetlari kabi uchinchi tomon kutubxonalari va xizmatlariga tayanadi. CSPni joriy etishda ushbu bog'liqliklarni hisobga olish va siyosatingiz ularga resurslarni to'g'ri yuklashga ruxsat berishini ta'minlash muhimdir.

Uchinchi tomon kutubxonalari bilan ishlash uchun ba'zi strategiyalar:

• Ishonchli uchinchi tomon provayderlarining domenlarini aniq ro'yxatga qo'shing: Masalan, agar siz CDN dan jQuery dan foydalansangiz, CDN ning domenini script-src direktivangizga qo'shing.
• Subresurs yaxlitligi (SRI) dan foydalaning: SRI uchinchi tomon manbalaridan yuklagan fayllaringiz o'zgartirilmaganligini tekshirish imkonini beradi. SRI dan foydalanish uchun faylning kriptografik xeshini yaratishingiz va uni <script> yoki <link> tegiga kiritishingiz kerak.
• Uchinchi tomon kutubxonalarini o'z serveringizda joylashtirishni ko'rib chiqing: Bu sizga resurslar ustidan ko'proq nazorat beradi va tashqi provayderlarga bog'liqligingizni kamaytiradi.

SRI yordamida misol:

            <script
 src="https://cdn.example.com/jquery.min.js"
 integrity="sha384-vtXRMe3mGCkKsTB9UMvnoknreNzcMRujMQFFSQhtI2zxLlClmHsfq9em6JzhbqQ"
 crossorigin="anonymous"></script>
            

              
                Copy
              
            
          

CSP va bir sahifali ilovalar (SPAs)

SPA'lar ko'pincha JavaScript va dinamik kod yaratishga qattiq tayanadi, bu esa CSPni joriy etishni qiyinlashtirishi mumkin. SPA'larni CSP bilan himoyalash uchun ba'zi maslahatlar:

• 'unsafe-eval' dan foydalanishdan saqlaning: SPA'lar ko'pincha eval() ga tayanadigan shablon mexanizmlari yoki boshqa usullardan foydalanadi. Buning o'rniga, oldindan kompilyatsiya qilingan shablonlar kabi eval() ni talab qilmaydigan muqobil yondashuvlardan foydalanishni ko'rib chiqing.
• Inline skriptlar uchun noncelar yoki xeshlardan foydalaning: SPA'lar ko'pincha JavaScript kodini dinamik ravishda kiritadi. Faqat ishonchli kod bajarilishini ta'minlash uchun noncelar yoki xeshlardan foydalaning.
• connect-src direktivasini diqqat bilan sozlang: SPA'lar ko'pincha turli so'nggi nuqtalarga API so'rovlarini yuboradi. connect-src direktivasida faqat zarur domenlarni oq ro'yxatga kiritganingizga ishonch hosil qiling.
• CSPni qo'llab-quvvatlaydigan freymvorkdan foydalanishni ko'rib chiqing: Ba'zi JavaScript freymvorklari CSP uchun o'rnatilgan yordamni taqdim etadi, bu esa xavfsiz siyosatni amalga oshirish va saqlashni osonlashtiradi.

CSP va xalqarolashtirish (i18n)

Global auditoriya uchun veb-ilovalarni ishlab chiqishda CSPning xalqarolashtirishga (i18n) ta'sirini hisobga olish muhimdir. Quyida yodda tutish kerak bo'lgan ba'zi omillar mavjud:

• Kontent yetkazib berish tarmoqlari (CDNs): Agar siz veb-saytingiz aktivlarini yetkazib berish uchun CDN dan foydalansangiz, CSPda CDN domenlarini oq ro'yxatga kiritganingizga ishonch hosil qiling. Ishlashni optimallashtirish uchun turli mintaqalar uchun turli xil CDNlardan foydalanishni ko'rib chiqing.
• Tashqi shriftlar: Agar siz tashqi shriftlardan (masalan, Google Fonts) foydalansangiz, shrift provayderlarining domenlarini font-src direktivangizda oq ro'yxatga kiritganingizga ishonch hosil qiling.
• Mahalliylashtirilgan kontent: Agar siz veb-saytingizning turli tillar yoki mintaqalar uchun turli xil versiyalarini taqdim etsangiz, CSP har bir versiya uchun to'g'ri sozlanganligiga ishonch hosil qiling.
• Uchinchi tomon integratsiyalari: Agar siz ma'lum mintaqalarga xos bo'lgan uchinchi tomon xizmatlari bilan integratsiya qilsangiz, ushbu xizmatlarning domenlarini CSPda oq ro'yxatga kiritganingizga ishonch hosil qiling.

CSP eng yaxshi amaliyotlari: Global nuqtai nazar

Bu yerda global nuqtai nazarni hisobga olgan holda CSPni joriy etish uchun ba'zi umumiy eng yaxshi amaliyotlar keltirilgan:

• Cheklovchi siyosat bilan boshlang: Odatiy bo'lib hamma narsani bloklaydigan siyosat bilan boshlang va keyin ishonchli manbalarni tanlab yoqing.
• Avval faqat hisobot berish rejimida foydalaning: Potensial muammolarni aniqlash uchun CSPni majburiy ijro etishdan oldin faqat hisobot berish rejimida sinab ko'ring.
• CSP hisobotlarini kuzatib boring: Potensial xavfsizlik zaifliklarini aniqlash va siyosatingizni takomillashtirish uchun CSP hisobotlarini muntazam ravishda ko'rib chiqing.
• Inline skriptlar uchun noncelar yoki xeshlardan foydalaning: 'unsafe-inline' va 'unsafe-eval' dan foydalanishdan saqlaning.
• Manbalar ro'yxatlari bilan aniq bo'ling: Agar mutlaqo zarur bo'lmasa, umumiy belgilardan (*) foydalanishdan saqlaning.
• Uchinchi tomon resurslari uchun Subresurs yaxlitligi (SRI) dan foydalaning: CDN-lardan yuklangan fayllarning yaxlitligini tekshiring.
• CSPni yangilab turing: Veb-saytingiz va bog'liqliklaringizdagi o'zgarishlarni aks ettirish uchun CSPni muntazam ravishda ko'rib chiqing va yangilang.
• Jamoangizni o'rgating: Ishlab chiquvchilaringiz va xavfsizlik jamoangiz CSPning ahamiyatini va uni qanday qilib to'g'ri amalga oshirishni tushunishiga ishonch hosil qiling.
• CSP generatori yoki boshqaruv vositasidan foydalanishni ko'rib chiqing: Ushbu vositalar CSPni osonroq yaratish va saqlashga yordam beradi.
• CSPni hujjatlashtiring: Kelajakdagi ishlab chiquvchilarga uni tushunish va saqlashga yordam berish uchun CSP siyosatingizni va har bir direktivaning sabablarini hujjatlashtiring.

Xulosa

Kontent xavfsizlik siyosati – bu XSS hujumlarini kamaytirish va veb-ilovalaringiz xavfsizligini oshirish uchun kuchli vositadir. Ishonchli manbalarning oq ro'yxatini diqqat bilan belgilash orqali siz zararli kodning bajarilishi xavfini sezilarli darajada kamaytirishingiz va foydalanuvchilaringizni zarardan himoya qilishingiz mumkin. CSPni joriy etish qiyin bo'lishi mumkin, ammo ushbu maqolada keltirilgan eng yaxshi amaliyotlarga rioya qilish va ilovangiz va global auditoriyangizning o'ziga xos ehtiyojlarini hisobga olgan holda, siz veb-saytingiz va butun dunyodagi foydalanuvchilarni himoya qiladigan mustahkam va samarali xavfsizlik siyosatini yaratishingiz mumkin.

Yodda tutingki, xavfsizlik doimiy jarayondir va CSP bu jumboqning faqat bir qismidir. Keng qamrovli chuqur himoya strategiyasini yaratish uchun CSPni kiritishni tekshirish, chiqarishni kodlash va muntazam xavfsizlik tekshiruvlari kabi boshqa xavfsizlik choralari bilan birlashtiring.

Qo'shimcha manbalar

• Kontent xavfsizlik siyosati (CSP) - MDN Veb Hujjatlari
• CSP Baholovchisi
• Content-Security-Policy.com