Web 安全标头：内容安全策略与 JavaScript 执行

在当今复杂的数字环境中，Web 应用程序的安全性至关重要。针对各种攻击，尤其是跨站脚本 (XSS) 攻击，最有效的防御措施之一是使用 Web 安全标头。其中，内容安全策略 (CSP) 作为一种强大的机制脱颖而出，用于控制浏览器允许为给定页面加载哪些资源。本文提供了一份全面的指南，帮助您理解并有效实施 CSP，以保护您的 Web 应用程序和用户。

了解 Web 安全标头

Web 安全标头是 HTTP 响应标头，它向浏览器提供有关在处理某些类型内容时应如何操作的指令。它们是深度防御策略的关键组成部分，与其他安全措施协同工作以降低风险。

一些最常用的 Web 安全标头包括：

• 内容安全策略 (CSP): 控制用户代理允许加载的资源。
• HTTP 严格传输安全 (HSTS): 强制浏览器使用 HTTPS。
• X-Frame-Options: 防范点击劫持攻击。
• X-Content-Type-Options: 防止 MIME 嗅探漏洞。
• Referrer-Policy: 控制请求中应包含多少引荐来源信息。
• Permissions-Policy (以前称为 Feature-Policy): 允许对浏览器功能进行精细控制。

本文主要关注内容安全策略 (CSP) 及其对 JavaScript 执行的影响。

什么是内容安全策略 (CSP)？

CSP 是一个 HTTP 响应标头，允许您定义一个白名单，其中包含浏览器允许加载资源的来源。这包括 JavaScript、CSS、图像、字体和其他资产。通过明确定义这些受信任的来源，您可以显著降低 XSS 攻击的风险，这种攻击会将恶意脚本注入您的网站，并在用户浏览器上下文中执行。

可以将 CSP 视为浏览器的防火墙，但它不是阻止网络流量，而是阻止不受信任的代码执行。

为什么 CSP 对 JavaScript 执行很重要？

JavaScript 是一种功能强大的语言，可用于创建动态和交互式的 Web 体验。然而，其灵活性也使其成为攻击者的主要目标。XSS 攻击通常涉及将恶意 JavaScript 代码注入网站，然后可用于窃取用户凭据、将用户重定向到钓鱼网站或篡改网站。

CSP 可以通过限制 JavaScript 的加载和执行来源来有效防止这些攻击。默认情况下，CSP 会阻止所有内联 JavaScript（<script> 标签内的代码）和从外部域加载的 JavaScript。然后，您可以使用 CSP 指令选择性地启用受信任的来源。

CSP 指令：策略的构建模块

CSP 指令定义了允许加载的资源类型以及可以从哪些来源加载它们。以下是一些最重要的指令：

• default-src: 作为其他获取指令的后备。如果未定义特定指令，则使用 default-src。
• script-src: 指定 JavaScript 代码的允许来源。
• style-src: 指定 CSS 样式表的允许来源。
• img-src: 指定图像的允许来源。
• font-src: 指定字体的允许来源。
• media-src: 指定音频和视频文件的允许来源。
• object-src: 指定插件（例如 Flash）的允许来源。
• frame-src: 指定框架（<frame>、<iframe>）的允许来源。
• connect-src: 指定网络请求（例如 XMLHttpRequest、Fetch API、WebSockets）的允许来源。
• base-uri: 限制可在文档的 <base> 元素中使用的 URL。
• form-action: 限制表单可以提交到的 URL。
• upgrade-insecure-requests: 指示浏览器将所有不安全的 URL (HTTP) 升级为安全的 URL (HTTPS)。
• block-all-mixed-content: 当页面通过 HTTPS 加载时，阻止浏览器使用 HTTP 加载任何资源。

每个指令可以接受多种来源表达式，包括：

• *: 允许来自任何来源的资源（通常不推荐）。
• 'self': 允许来自与文档相同来源（协议、主机和端口）的资源。
• 'none': 不允许来自任何来源的资源。
• 'unsafe-inline': 允许使用内联 JavaScript 和 CSS（强烈不建议）。
• 'unsafe-eval': 允许使用 eval() 及相关函数（强烈不建议）。
• 'unsafe-hashes': 允许基于其 SHA256、SHA384 或 SHA512 哈希的特定内联事件处理程序（谨慎使用）。
• data:: 允许 data: URI（例如，编码为 base64 的内联图像）。
• https://example.com: 允许通过 HTTPS 从指定域（以及可选端口）加载资源。
• *.example.com: 允许来自 example.com 的任何子域的资源。
• nonce-{random-value}: 允许具有匹配 nonce 属性的特定内联脚本或样式（推荐用于内联代码）。
• sha256-{hash-value}: 允许具有匹配 SHA256 哈希的特定内联脚本或样式（nonce 的替代方案）。

实施 CSP：实践示例

实施 CSP 主要有两种方式：

1. HTTP 标头：在 HTTP 响应中发送 Content-Security-Policy 标头。这是首选方法。
2. <meta> 标签：在 HTML 文档的 <head> 部分使用 <meta> 标签。此方法有局限性，通常不推荐使用。

使用 HTTP 标头

要设置 CSP 标头，您需要配置您的 Web 服务器。具体步骤将根据您的服务器（例如 Apache、Nginx、IIS）而有所不同。

以下是一些 CSP 标头的示例：

基本 CSP

此策略仅允许来自相同来源的资源：

            Content-Security-Policy: default-src 'self';
            

              
                Copy
              
            
          

允许来自特定域的资源

此策略允许来自 https://cdn.example.com 的 JavaScript 和来自 https://images.example.net 的图像：

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; img-src 'self' https://images.example.net;
            

              
                Copy
              
            
          

为内联脚本使用 Nonce

此策略允许具有匹配 nonce 属性的内联脚本：

            Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3';
            

              
                Copy
              
            
          

在您的 HTML 中：

            <script nonce="rAnd0mN0nc3">
 // Your inline script
</script>
            

              
                Copy
              
            
          

注意：nonce 值应为每个请求随机生成，以防止攻击者绕过 CSP。

为内联脚本使用哈希

此策略允许基于其 SHA256 哈希的特定内联脚本：

            Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=';
            

              
                Copy
              
            
          

要生成 SHA256 哈希，您可以使用各种在线工具或命令行实用程序（例如 openssl dgst -sha256 -binary input.js | openssl base64）。

使用 <meta> 标签

虽然不建议用于复杂策略，但可以使用 <meta> 标签来设置基本的 CSP。例如：

            <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
            

              
                Copy
              
            
          

<meta> 标签的局限性：

• 不能用于指定 report-uri 指令。
• 不像 HTTP 标头那样被广泛支持。
• 对于复杂策略，灵活性较差且更难管理。

CSP 仅报告模式

在强制执行 CSP 之前，强烈建议使用 Content-Security-Policy-Report-Only 标头。这使您可以监控策略的影响而不会实际阻止任何资源。浏览器会将任何违规行为报告到指定的 URL，让您可以在生产环境中部署之前微调您的策略。

            Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report;
            

              
                Copy
              
            
          

您需要配置一个服务器端端点（例如 /csp-report）来接收和处理 CSP 报告。这些报告通常是 JSON 对象，其中包含有关违规指令、被阻止的 URI 和其他相关详细信息的信息。

常见的 CSP 错误及如何避免

实施 CSP 可能具有挑战性，而且很容易犯下错误，这些错误要么会削弱您的安全性，要么会破坏您的网站。以下是一些需要避免的常见陷阱：

• 使用 'unsafe-inline' 和 'unsafe-eval'：这些指令实质上禁用了 CSP 提供的保护，应尽可能避免。对内联脚本使用 nonce 或哈希，并避免使用 eval()。
• 使用 *：允许来自任何来源的资源违背了 CSP 的初衷。在定义策略时应尽可能具体。
• 未进行彻底测试：在强制执行 CSP 之前，请务必在仅报告模式下进行测试。监控报告并根据需要调整您的策略。
• 错误配置 report-uri：确保您的 report-uri 端点配置正确，以接收和处理 CSP 报告。
• 未能更新您的 CSP：随着网站的发展，您可能需要更新 CSP 以反映资源依赖关系的变化。
• 过于严格的策略：过于严格的策略可能会破坏您的网站并令用户感到沮丧。在安全性和可用性之间找到平衡点。

CSP 与第三方库

许多网站依赖于第三方库和服务，例如 CDN、分析提供商和社交媒体小部件。在实施 CSP 时，重要的是要考虑这些依赖关系，并确保您的策略允许它们正确加载资源。

以下是处理第三方库的一些策略：

• 明确将受信任的第三方提供商的域列入白名单：例如，如果您使用来自 CDN 的 jQuery，请将该 CDN 的域添加到您的 script-src 指令中。
• 使用子资源完整性 (SRI)：SRI 允许您验证从第三方来源加载的文件未被篡改。要使用 SRI，您需要生成文件的加密哈希，并将其包含在 <script> 或 <link> 标签中。
• 考虑在您自己的服务器上托管第三方库：这使您可以更好地控制资源，并减少对外部提供商的依赖。

使用 SRI 的示例：

            <script
 src="https://cdn.example.com/jquery.min.js"
 integrity="sha384-vtXRMe3mGCkKsTB9UMvnoknreNzcMRujMQFFSQhtI2zxLlClmHsfq9em6JzhbqQ"
 crossorigin="anonymous"></script>
            

              
                Copy
              
            
          

CSP 与单页应用程序 (SPA)

SPA 通常严重依赖 JavaScript 和动态代码生成，这可能使实施 CSP 更具挑战性。以下是使用 CSP 保护 SPA 的一些技巧：

• 避免使用 'unsafe-eval'：SPA 通常使用模板引擎或其他依赖 eval() 的技术。相反，请考虑使用不需要 eval() 的替代方法，例如预编译模板。
• 为内联脚本使用 nonce 或哈希：SPA 通常会动态注入 JavaScript 代码。使用 nonce 或哈希来确保只有受信任的代码被执行。
• 仔细配置 connect-src 指令：SPA 通常会向各种端点发出 API 请求。确保在 connect-src 指令中仅将必要的域列入白名单。
• 考虑使用支持 CSP 的框架：一些 JavaScript 框架提供对 CSP 的内置支持，使实施和维护安全策略变得更加容易。

CSP 与国际化 (i18n)

为全球受众开发 Web 应用程序时，考虑 CSP 对国际化 (i18n) 的影响非常重要。以下是一些需要牢记的因素：

• 内容分发网络 (CDN)：如果您使用 CDN 来分发网站资产，请确保在 CSP 中将 CDN 的域列入白名单。考虑为不同地区使用不同的 CDN 以优化性能。
• 外部字体：如果您使用外部字体（例如 Google Fonts），请确保在您的 font-src 指令中将字体提供商的域列入白名单。
• 本地化内容：如果您为不同语言或地区提供不同版本的网站，请确保为每个版本正确配置 CSP。
• 第三方集成：如果您与特定于某些地区的第三方服务集成，请确保在 CSP 中将这些服务的域列入白名单。

CSP 最佳实践：全球视角

以下是实施 CSP 的一些通用最佳实践，同时考虑了全球视角：

• 从限制性策略开始：从默认阻止所有内容的策略开始，然后有选择地启用受信任的来源。
• 首先使用仅报告模式：在强制执行 CSP 之前，在仅报告模式下进行测试以识别潜在问题。
• 监控 CSP 报告：定期审查 CSP 报告以识别潜在的安全漏洞并完善您的策略。
• 为内联脚本使用 nonce 或哈希：避免使用 'unsafe-inline' 和 'unsafe-eval'。
• 来源列表要具体：除非绝对必要，否则避免使用通配符 (*)。
• 对第三方资源使用子资源完整性 (SRI)：验证从 CDN 加载的文件的完整性。
• 保持 CSP 更新：定期审查和更新您的 CSP，以反映您的网站和依赖项的变化。
• 对您的团队进行教育：确保您的开发人员和安全团队了解 CSP 的重要性以及如何正确实施它。
• 考虑使用 CSP 生成器或管理工具：这些工具可以帮助您更轻松地创建和维护 CSP。
• 记录您的 CSP：记录您的 CSP 策略以及每个指令背后的原因，以帮助未来的开发人员理解和维护它。

结论

内容安全策略是缓解 XSS 攻击和增强 Web 应用程序安全性的强大工具。通过仔细定义受信任来源的白名单，您可以显著降低恶意代码执行的风险，并保护您的用户免受伤害。实施 CSP 可能具有挑战性，但通过遵循本文概述的最佳实践，并考虑您的应用程序和全球受众的特定需求，您可以创建一个强大有效的安全策略，保护您的网站和全球用户。

请记住，安全是一个持续的过程，CSP 只是其中的一部分。将 CSP 与其他安全措施（如输入验证、输出编码和定期安全审计）相结合，以创建全面的深度防御策略。

更多资源

• 内容安全策略 (CSP) - MDN Web Docs
• CSP 评估器
• Content-Security-Policy.com