HTML5內(nèi)容安全策略是什么

本文小編為大家詳細介紹“HTML5內(nèi)容安全策略是什么”，內(nèi)容詳細，步驟清晰，細節(jié)處理妥當，希望這篇“HTML5內(nèi)容安全策略是什么”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學習新知識吧。

成都創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站建設(shè)、網(wǎng)站制作與策劃設(shè)計,南明網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:南明等地區(qū)。南明做網(wǎng)站價格咨詢:18982081108

萬維網(wǎng)的安全策略植根于同源策略。例如www.mb5u.com的代碼只能訪問www.mb5u.com的數(shù)據(jù)，而沒有訪問http://www.baidu.com的權(quán)限。每個來源都與網(wǎng)絡(luò)的其它部分分隔開，為開發(fā)人員構(gòu)建了一個安全的沙箱。理論上這是完美的，但是現(xiàn)在攻擊者已經(jīng)找到了聰明的方式來破壞這個系統(tǒng)。

        這就是XSS跨站腳本攻擊，通過虛假內(nèi)容和誘騙點擊來繞過同源策略。這是一個很大的問題，如果攻擊者成功注入代碼，有相當多的用戶數(shù)據(jù)會被泄漏。

        現(xiàn)在我們介紹一個全新的、有效的安全防御策略來減輕這種風險，這就是內(nèi)容安全策略（ContentSecurity Policy，CSP）。

來源白名單

        XSS攻擊的核心是利用了瀏覽器無法區(qū)分腳本是被第三方注入的，還是真的是你應(yīng)用程序的一部分。例如Google +1按鈕會從https://apis.google.com/js/plusone.js加載并執(zhí)行代碼，但是我們不能指望從瀏覽器上的圖片就能判斷出代碼是真的來自apis.google.com，還是來自apis.evil.example.com。瀏覽器下載并執(zhí)行任意代碼的頁面請求，而不論其來源。

        CSP定義了Content-Security-PolicyHTTP頭來允許你創(chuàng)建一個可信來源的白名單，使得瀏覽器只執(zhí)行和渲染來自這些來源的資源，而不是盲目信任服務(wù)器提供的所有內(nèi)容。即使攻擊者可以找到漏洞來注入腳本，但是因為來源不包含在白名單里，因此將不會被執(zhí)行。

        以上面Google +1按鈕為例，因為我們相信apis.google.com提供有效的代碼，以及我們自己，所以可以定義一個策略，允許瀏覽器只會執(zhí)行下面兩個來源之一的腳本。

        Content-Security-Policy:script-src 'self' https://apis.google.com

        是不是很簡單？script-src可以為指定頁面控制腳本相關(guān)權(quán)限。這樣瀏覽器只會下載和執(zhí)行來自http://apis.google.com和本頁自身的腳本。

        一旦我們定義了這個策略，瀏覽器會在檢測到注入代碼時拋出一個錯誤（請注意是什么瀏覽器）。

內(nèi)容安全策略適用于所有常用資源

        雖然腳本資源是最明顯的安全隱患，但是CSP還提供了一套豐富的指令集，允許頁面控制加載各種類型的資源，例如如下的類型：

content-src：限制連接的類型（例如XHR、WebSockets和EventSource）

font-src：控制網(wǎng)絡(luò)字體的來源。例如可以通過font-src https://themes.googleusercontent.com來使用Google的網(wǎng)絡(luò)字體。

frame-src：列出了可以嵌入的frame的來源。例如frame-src https://youtube.com只允許嵌入YouTube的視頻。。

img-src：定義了可加載圖像的來源。

media-src：限制視頻和音頻的來源。

object-src：限制Flash和其他插件的來源。

style-src：類似于Script-src，只是作用于css文件。

        默認情況下，所有的設(shè)置都是打開的，不做任何限制。你可以以分號分隔多個指令，但是類似于script-src https://host1.com;script-src https://host2.com的形式，第二個指令將會被忽略。正確的寫法是script-src https://host1.com https://host2.com。

        例如，你有一個應(yīng)用需要從內(nèi)容分發(fā)網(wǎng)絡(luò)（cdn，例如https://cdn.example.net）加載所有的資源，并且知道不需要任何frame和插件的內(nèi)容，你的策略可能會像下面這樣：

Content-Security-Policy:default-src https://cdn.example.net; frame-src 'none'; object-src 'none'

細節(jié)

        我在例子里使用的HTTP頭是Content-Security-Policy，但是現(xiàn)代瀏覽器已經(jīng)通過前綴來提供了支持：Firefox使用x-Content-Security-Policy，WebKit使用X-WebKit-CSP。未來會逐步過渡到統(tǒng)一的標準。

        策略可以根據(jù)每個不同的頁面而設(shè)定，這提供了很大的靈活度。因為你的站點可能有的頁面有Google +1的按鈕，而有的則沒有。

        每個指令的來源列表可以相當靈活，你可以指定模式（data:, https:），或者指定主機名在一個范圍（example.com，它匹配主機上的任意來源、任意模式和任意端口），或者指定一個完整的URI（https://example.com:443，特指https協(xié)議，example.com域名，443端口）。

        你在來源列表中還可以使用四個關(guān)鍵字：

“none”：你可能期望不匹配任何內(nèi)容

“self”：與當前來源相同，但不包含子域

“unsafe-inline”：允許內(nèi)聯(lián)Javascript和CSS

“unsafe-eval”：允許文本到JS的機制例如eval

        請注意，這些關(guān)鍵詞需要加引號。

沙箱

        這里還有另外一個值得討論的指令：sandbox。和其他指令有些不一致，它主要是控制頁面上采取的行為，而不是頁面能夠加載的資源。如果設(shè)置了這個屬性，頁面就表現(xiàn)為一個設(shè)置了sandbox屬性的frame一樣。這對頁面有很大范圍的影響，例如防止表單提交等。這有點超出了本文的范圍，但是你可以在HTML5規(guī)范的“沙箱標志設(shè)置”章節(jié)找到更多信息。

有害的內(nèi)聯(lián)代碼

        CSP基于來源白名單，但是它不能解決XSS攻擊的最大來源：內(nèi)聯(lián)腳本注入。如果攻擊者可以注入包含有害代碼的script標簽（<script>sendMyDataToEvilDotCom();</script>），瀏覽器并沒有好的機制來區(qū)分這個標簽。CSP只能通過完全禁止內(nèi)聯(lián)腳本來解決這個問題。

        這個禁止項不僅包括腳本中嵌入的script標簽，還包括內(nèi)聯(lián)事件處理程序和javascrpt:這種URL。你需要把script標簽的內(nèi)容放到一個外部文件里，并且用適當?shù)腶ddEventListener的方式替換javascript:和<a&hellip;onclick=”[JAVASCRIPT]”>。例如，你可能會把下面的表單：

<script>

  function doAmazingThings() {

    alert('YOU AM AMAZING!');

  }

</script>

<button onclick='doAmazingThings();'>Am I amazing?</button>

        重寫為下面的形式：

<!-- amazing.html -->

<script src='amazing.js'></script>

<button id='amazing'>Am I amazing?</button>

// amazing.js

function doAmazingThings() {

  alert('YOU AM AMAZING!');

}

document.addEventListener('DOMContentReady', function () {

  document.getElementById('amazing')

          .addEventListener('click', doAmazingThings);

});

        無論是否使用CSP，以上的代碼其實有更大的優(yōu)點。內(nèi)聯(lián)JavaScript完全混合了結(jié)構(gòu)和行為，你不應(yīng)該這么做。另外外聯(lián)資源更容易進行瀏覽器緩存，開發(fā)者更容易理解，并且便于編譯和壓縮。如果采用外聯(lián)代碼，你會寫出更好的代碼。

        內(nèi)聯(lián)樣式需要以同樣的方式進行處理，無論是style屬性還是style標簽都需要提取到外部樣式表中。這樣可以防止各式各樣神奇的數(shù)據(jù)泄漏方式。

        如果你必須要有內(nèi)聯(lián)腳本和樣式，可以為script-src or style-src屬性設(shè)定'unsafe-inline值。但是不要這樣做，禁止內(nèi)聯(lián)腳本是CSP提供的最大安全保證，同時禁止內(nèi)聯(lián)樣式可以讓你的應(yīng)用變得更加安全和健壯。這是一個權(quán)衡，但是非常值得。

Eval

        即便攻擊者不能直接注入腳本，他可能會誘使你的應(yīng)用把插入的文本轉(zhuǎn)換為可執(zhí)行腳本并且自我執(zhí)行。eval() , newFunction() , setTimeout([string], ...) 和setInterval([string], ...) 都可能成為這種危險的載體。CSP針對這種風險的策略是，完全阻止這些載體。

        這對你構(gòu)建應(yīng)用的方式有一些影響：

        通過內(nèi)置的JSON.parse解析JSON，而不依靠eval。IE8以后的瀏覽器都支持本地JSON操作，這是完全安全的。

        通過內(nèi)聯(lián)函數(shù)代替字符串來重寫你setTimeout和setInterval的調(diào)用方式。例如：  

setTimeout("document.querySelector('a').style.display = 'none';", 10);

        可以重寫為：

setTimeout(function () { document.querySelector('a').style.display = 'none'; }, 10);

        避免運行時的內(nèi)聯(lián)模版：許多模版庫都使用new Function()以加速模版的生成。這對動態(tài)程序來說非常棒，但是對惡意文本來說存在風險。

報告

        CSP可以在服務(wù)器端阻止不可信的資源對用戶來說非常有用，但是對于獲取各種發(fā)送到服務(wù)器的通知來說對我們卻非常有用，這樣我們就能識別和修復任何惡意腳本注入。為此你可以通過report-uri指令指示瀏覽器發(fā)送JSON格式的攔截報告到某個地址。

Content-Security-Policy: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

        報告看起來會像下面這樣：

{

  "csp-report": {

    "document-uri": "http://example.org/page.html",

    "referrer": "http://evil.example.com/",

    "blocked-uri": "http://evil.example.com/evil.js",

    "violated-directive": "script-src 'self' https://apis.google.com",

    "original-policy": "script-src 'self' https://apis.google.com; report-uri http://example.org/my_amazing_csp_report_parser"

  }

}

        其中包含的信息會幫助你識別攔截的情況，包括攔截發(fā)生的頁面（document-uri），頁面的referrer，違反頁面策略的資源（blocked-uri），所違反的指令（violated-directive）以及頁面所有的內(nèi)容安全策略（original-policy）。

現(xiàn)實用法

        CSP現(xiàn)在在Chrome 16+和Firefox 4+的瀏覽器上可用，并且它在IE10上預(yù)計會獲得有限的支持。Safari目前還不支持，但是WebKit每晚構(gòu)建版已經(jīng)可用，所以預(yù)計Safari將會在下面的迭代中提供支持。

        下面讓我們看一些常用的用例：

        實際案例1：社會化媒體widget

Google +1 button包括來自https://apis.google.com的腳本，以及嵌入自https://plusone.google.com的iframe。你的策略需要包含這些源來使用Google +1的按鈕。最簡單的策略是script-src https://apis.google.com; frame-src https://plusone.google.com。你還需要確保Google提供的JS片段存放在外部的JS文件里。

Facebook的Like按鈕有許多種實現(xiàn)方案。我建議你堅持使用iframe版本，因為它可以和你站點的其它部分保持很好的隔離。這需要使用frame-src https://facebook.com指令。請注意，默認情況下，F(xiàn)acebook提供的iframe代碼使用的是相對路徑//facebook.com，請把這段代碼修改為https://facebook.com，HTTP你沒有必要可以不使用。

Twitter的Tweet按鈕依賴于script和frame，都來自于https://platform.twitter.com（Twitter默認提供的是相對URL，請在復制的時候編輯代碼來指定為HTTPS方式）。

        其它的平臺有相似的情況，可以類似的解決。我建議把default-src設(shè)置為none，然后查看控制臺來檢查你需要使用哪些資源來確保widget正常工作。

        使用多個widget非常簡單：只需要合并所有的策略指令，記住把同一指令的設(shè)置都放在一起。如果你想使用上面這三個widget，策略看起來會像下面這樣：

script-src https://apis.google.com https://platform.twitter.com; frame-src https://plusone.google.com https://facebook.com https://platform.twitter.com

        實際案例2：防御

        假設(shè)你訪問一個銀行網(wǎng)站，并且希望確保只加載你所需的資源。在這種情況下，開始設(shè)置一個默認的權(quán)限來阻止所有的內(nèi)容（default-src &lsquo;none&rsquo;），并且從這從頭構(gòu)建策略。

        比如，銀行網(wǎng)站需要從來自https://cdn.mybank.net的CDN加載圖像、樣式和腳本，并且通過XHR連接到https://api.mybank.com/來拉取各種數(shù)據(jù)，還需要使用frame，但是frame都來自非第三方的本地頁面。網(wǎng)站上沒有Flash、字體和其他內(nèi)容。這種情況下我們可以發(fā)送最嚴格的CSP頭是：

Content-Security-Policy: default-src 'none'; script-src https://cdn.mybank.net; style-src https://cdn.mybank.net; img-src https://cdn.mybank.net; connect-src https://api.mybank.com; frame-src 'self'

        實際案例3：只用SSL

        一個婚戒論壇管理員希望所有的資源都通過安全的方式進行加載，但是不想真的編寫太多代碼；重寫大量第三方論壇內(nèi)聯(lián)腳本和樣式的代碼超出了他的能力。所以以下的策略將會是非常有用的：

Content-Security-Policy: default-src https:; script-src https: 'unsafe-inline'; style-src https: 'unsafe-inline'

        盡管default-src指定了https，腳本和樣式不會自動繼承。每個指令將會完全覆蓋默認資源類型。

未來

        W3C的Web應(yīng)用安全工作組正在制定內(nèi)容安全策略規(guī)范的細節(jié)，1.0版本將要進入最后修訂階段，它和本文描述的內(nèi)容已經(jīng)非常接近。而public-webappsec@郵件組正在討論1.1版本，瀏覽器廠商也在努力鞏固和改進CSP的實現(xiàn)。

        CSP 1.1在畫板上有一些有趣的地方，值得單獨列出來：

        通過meta標簽添加策略：CSP的首選設(shè)置方式是HTTP頭，它非常有用，但是通過標記或者腳本設(shè)置會更加直接，不過目前還未最終確定。WebKit已經(jīng)實現(xiàn)了通過meta元素進行權(quán)限設(shè)置的特性，所以你現(xiàn)在可以在Chrome下嘗試如下的設(shè)置：在文檔頭添加<metahttp-equiv="X-WebKit-CSP" content="[POLICY GOES HERE]">。

        你甚至可以在運行時通過腳本來添加策略。

        DOM API：如果CSP的下一個迭代添加了這個特性，你可以通過Javascript來查詢頁面當前的安全策略，并根據(jù)不同的情況進行調(diào)整。例如在eval()是否可用的情況下，你的代碼實現(xiàn)可能會有些許不同。這對JS框架的作者來說非常有用；并且API規(guī)范目前還非常不確定，你可以在規(guī)范草案的腳本接口章節(jié)找到最新的迭代版本。

        新的指令：許多新指令正在討論中，包括script-nonce：只有明確指定的腳本元素才能使用內(nèi)聯(lián)腳本；plugin-types：這將限制插件的類型；form-action：允許form只能提交到特定的來源。

讀到這里，這篇“HTML5內(nèi)容安全策略是什么”文章已經(jīng)介紹完畢，想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領(lǐng)會，如果想了解更多相關(guān)內(nèi)容的文章，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

文章名稱：HTML5內(nèi)容安全策略是什么
文章路徑：http://muchs.cn/article18/ihigdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、網(wǎng)站改版、網(wǎng)站排名、電子商務(wù)、動態(tài)網(wǎng)站、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)