XSS跨站防护手段 - CSP（内容安全策略） - 《安全测试/安全渗透培训》

概念
一些指令
upgrade-insecure-requests
- 让浏览器不再显示 https 页面中的 http 请求警报。
- CSP设置upgrade-insecure-requests

概念

在浏览网页的过程中，尤其是移动端的网页，经常看到有很多无关的广告，其实大部分广告都是所在的网络劫持了网站响应的内容，并在其中植入了广告代码。为了防止这种情况发生，我们可以使用CSP来快速的阻止这种广告植入。而且可以比较好的防御dom xss。
其核心思想十分简单：网站通过发送一个 CSP 头部，来告诉浏览器什么是被授权执行的与什么是需要被禁止的。这里有一个 PHP 的例子：

<?php
    header("Content-Security-Policy: <your directives>");
?>

一般来说，CSP作为黑客/白名单机制，用于扩展程序加载或执行的资源。

一些指令

你可以定义一些全局规则或者定义一些涉及某一类资源的规则：
default-src ‘self’ ; # self = 同端口，同域名，同协议 => 允许

基础参数是 default-src：如果没有为某一类资源设置指令规则，那么浏览器就会使用这个默认参数值。
script-src ‘self’ www.google-analytics.com ;

在 CSP 1 规范下，你也可以设置如下规则：

img-src 有效的图片来源
connect-src 应用于 XMLHttpRequest（AJAX），WebSocket 或 EventSource
font-src 有效的字体来源
object-src 有效的插件来源（例如，
，，
）
media-src 有效的

CSP 2 规范包含了如下规则：
- child-src 有效的 web workers 和元素来源，如和（这个指令用来替代 CSP 1 中废弃了的 frame-src 指令）</li><li>form-action 可以作为 HTML <form> 的 action 的有效来源</li><li>frame-ancestors 使用 <frame>，<iframe>，<object>，<embed> 或 <applet> 内嵌资源的有效来源</li><li>upgrade-insecure-requests 命令用户代理来重写 URL 协议，将 HTTP 改到 HTTPS （为一些需要重写大量陈旧 URL 的网站提供了方便）。</li></ul> <pre><code class="lang-php"><?php header("Content-Security-Policy: default-src 'self' ; script-src 'self' www.google-analytics.com stats.g.doubleclick.net ; style-src 'self' data: ; img-src 'self' www.google-analytics.com stats.g.doubleclick.net data: ; frame-src 'self' ;"); ?> </code></pre> <p>上面的例子，浏览器将会作什么呢？它会（非常严格的）在 CSP 基础规则之下应用这些指令，这意味着<strong>任何没有在 CSP 指令中被授权允许的都将会被禁止</strong>（“blocked” 指的是不被执行、不被显示并且不被使用在网站中）。在 CSP 的默认设置中，内联脚本和样式是不被授权的，意味着每一个 <script>，onclick 事件属性或 style 属性都将会被禁止。你可以使用 style-src ‘unsafe-inline’ ; 指令来授权使用内联 CSS。</p> <p>更简单一点的例子：</p> <blockquote> <ol> <li>不允许加载任何来源框架： Content-Security-Policy: child-src ‘none’</li><li>只允许加载https协议的图片： Content-Security-Policy：img-src https://*</li><li>只允许加载本站资源：Content-Security-Policy： default-src ‘self’</li></ol> </blockquote> <hr> <p><a name="OJFBM"></a></p> <h2 id="agyh8g"><a name="agyh8g" class="reference-link"></a><span class="header-link octicon octicon-link"></span>upgrade-insecure-requests</h2><p><a name="FvK1j"></a></p> <h3 id="kxg7k"><a name="kxg7k" class="reference-link"></a><span class="header-link octicon octicon-link"></span>让浏览器不再显示 https 页面中的 http 请求警报。</h3><p>HTTPS 是 HTTP over Secure Socket Layer，以安全为目标的 HTTP 通道，所以在 HTTPS 承载的页面上不允许出现 http 请求，一旦出现就是提示或报错：</p> <blockquote> <p>Mixed Content: The page at ‘<a rel="nofollow" href="https://www.taobao.com/‘">https://www.taobao.com/‘</a> was loaded over HTTPS, but requested an insecure image ‘<a rel="nofollow" href="http://g.alicdn.com/s.gif’">http://g.alicdn.com/s.gif’</a>. This content should also be served over HTTPS.</p> </blockquote> <p><img src="https://cdn.nlark.com/yuque/0/2021/png/12449790/1635323523727-978f4894-94ab-404c-bbcf-836d3d6d053d.png#clientId=ua425bcaf-5830-4&from=paste&id=uffc3a109&margin=%5Bobject%20Object%5D&originHeight=227&originWidth=911&originalType=url&ratio=1&status=done&style=none&taskId=u81df3c7c-4e4e-4924-b4c3-7f1c75f8d17" alt=""><br />很多运营对 https 没有技术概念，在填入的数据中不免出现 http 的资源，体系庞大，出现疏忽和漏洞也是不可避免的。 <a name="Y4pBC"></a></p> <h3 id="877pez"><a name="877pez" class="reference-link"></a><span class="header-link octicon octicon-link"></span>CSP设置upgrade-insecure-requests</h3><p>好在 W3C 工作组考虑到了我们升级 HTTPS 的艰难，在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案，他的作用就是让浏览器自动升级请求。在我们服务器的响应头中加入：</p> <blockquote> <p>header(“Content-Security-Policy: upgrade-insecure-requests”);</p> </blockquote> <p>我们的页面是 https 的，而这个页面中包含了大量的 http 资源（图片、iframe等），页面一旦发现存在上述响应头，会在加载 http 资源时自动替换成 https 请求。可以查看 google 提供的一个 <a rel="nofollow" href="https://googlechrome.github.io/samples/csp-upgrade-insecure-requests/index.html">demo</a>：<br /><img src="https://cdn.nlark.com/yuque/0/2021/png/12449790/1635323587728-5f185969-f487-4003-930d-97abec0ed12d.png#clientId=ua425bcaf-5830-4&from=paste&id=u3c9ead50&margin=%5Bobject%20Object%5D&originHeight=388&originWidth=1034&originalType=url&ratio=1&status=done&style=none&taskId=u40b0cf9d-670f-4ab2-8b74-db8a5bf4d2d" alt=""><br />不过让人不解的是，这个资源发出了两次请求，猜测是浏览器实现的 bug：<br /><img src="https://cdn.nlark.com/yuque/0/2021/png/12449790/1635323587647-3f7565fd-ef73-460d-b872-e8f3975ea4fb.png#clientId=ua425bcaf-5830-4&from=paste&id=uf4266b43&margin=%5Bobject%20Object%5D&originHeight=316&originWidth=348&originalType=url&ratio=1&status=done&style=none&taskId=u3f5f78f6-98ca-45a4-a3a3-aee1224c69e" alt=""><br />当然，如果我们不方便在服务器/Nginx 上操作，也可以在页面中加入 meta 头：</p> <blockquote> <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" /> </blockquote> <p>而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。从 W3C 工作组给出的 example，可以看出，这个设置不会对外域的 a 链接做处理，所以可以放心使用。</p>