浏览器安全策略之内容安全策略CSP.docVIP

浏览器安全策略之内容安全策略CSP 　　编者按：很多人认为，互联网在传递信息的同时也传递着威胁和安全隐患。而Web网站24小时在互联网上开放某些端口、提供相关服务，同时，全球的Web站点不胜枚举、应有尽有。所以，Web网站也成为最容易被攻击者利用的目标。本期的两篇文章，一篇是关于浏览器的内容安全策略头（CSP，Content Security Policy）的技术文章，另一篇则是企业对Web安全网关的应用案例，两个侧面、两个维度，为读者提供应对普遍存在，甚至就发生在身边的Web安全威胁的思路。 　　2013年11月，Veracode给出的报告指出，全球前一百万个网站中仅有269个网站使用了W3C规范的内容安全策略头（CSP，Content Security Policy）。ZoomEye在2014年2月给出的测试报告中，中国排名前7千的域名没有使用CSP的，国内1000的域名（含子域名）中仅发现7个使用了CSP策略，其中还有3个网站CSP出现语法使用错误。 　　如果说CSP是一个伟大的安全策略，为何全球范围内网站使用率如此之低？是CSP自身的设计存在问题，还是网站管理员们没有去充分了解和利用它？CSP到底是一个什么样的安全策略，是像人们普遍说的它是XSS攻击的终结者吗？ 　　带着以上的疑问，本文将从CSP的概念、发展时间轴、语法使用、如何正确部署CSP、CSP的自有特性、如何利用CSP产生攻击报告、CSP当前使用率、Bypass CSP等众多方面，来给大家全面介绍CSP这个伟大而又被忽视的安全策略。 　　CSP是以可信白名单作机制，限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码（块内容、内联事件、内联样式），以及禁止执行eval（）、newFunction（）、setTimeout（[string]， ...）和setInterval（[string]， ...）。 　　CSP发展时间轴 　　毋庸置疑，CSP是一个伟大的策略，但CSP从最初设计到被W3C认可制定成通用标准，却经历了一个漫长而曲折的过程。 　　这要从2007年说起。当时XSS攻击已在OWASP TOP10攻击中排名第一位，CSP的最初的设想就在这一年被Mozilla项目组的Gervase Markham和Web安全界大牛Robert Hansen ‘rsnake’两人共同提出。 　　2011年3月，Firefox 4.0发布，首次把CSP当作一种正式的安全策略规范使用到浏览器中。当时火狐使用的是自己定义的X-Content-Security-Policy头。单从CSP推广上看，Firefox4.0的发布是划时代的，虽然此时的CSP只是Firefox自己定义的一个内部标准，但在此之后，CSP的概念在全球迅速推广。 　　在随后的2011年9月，谷歌在Chrome浏览器14.0版本发布时加入CSP，而Chrome浏览器使用的也是自己的CSP标准，它使用X-Webkit-CSP头进行对CSP的解析，这个头从字面上更能看出来Chrome浏览器使用的是Webkit内核。此时，世界主流的两大浏览器Chrome、Firefox都已经支持了CSP。 　　作为标准发布的W3C组织顺其自然于2011年11月在官网上发布了CSP1.0草案。W3C CSP1.0草案语法和Firefox、Chrome中截然不同。一年后，W3C的CSP1.0草案已经到了推选阶段，基本可以正式发布。 　　在2012年2月Chrome25版本发布时，它宣布支持W3C标准的CSP1.0。2013年6月，Firefox宣布在其23版本中全面支持W3C的CSP1.0标准。同样是在2013年6月，W3C发布CSP1.1标准，里面又加入了不少语法，现在大多浏览器还都不支持。IE10中开始支持CSP中的’sandbox’语法，其他语法暂不支持。 　　目前各个浏览器对CSP的支持情况可以在http：///#feat=contentsecuritypolicy中查看。 　　CSP默认特性 　　1. 阻止内联代码执行 　　CSP除了使用白名单机制外，默认配置下阻止内联代码执行是防止内容注入的最大安全保障。 　　这里的内联代码包括：块内容、内联事件、内联样式。 　　script代码，…… 　　对于块内容是完全不能执行的。例如： getyourcookie（） 　　内联事件 　　 　　 　　内联样式 　　 　　window.setInterval（alert（hi）， 10）； 　　new Function（return foo.bar.baz）； 　　如果想执行可以把字符串转换为内联函数去执行。 　　alert（foo foo.bar foo.ba