在你的网站上使用内容安全策略
我总是告知我的学生,假如他们将在那里做任何类型的Web应用程序浸透测验,他们应该要先考虑的是运转自己的网络服务器。为了能够运转,我张狂地挑选了WordPress。我之所以这样说,是由于我意识到,我冒着曝光的高风险运转着WordPress。我会写未来有关此方面的文章,首要是由于我依然积极地进行着SANS642和SAN542的教育。
从安全的视点来看,精力体操有必要经过服务器运转之后才会完美,此Web服务器证明了这一点。实用主义也是有其价值的。有些本钱也包含了CSP,或许应该称之为内容安全策略更好。实话说,假如你不愿意完成对接,CSP便是对接完成一个巨大的苦楚。你能够用它来报答你自己,但当你在这个岗位上,它并不会体现得很完美。
我现在运用的盛行的东西有:NGINX,WordPress,新的文物,谷歌Analytics(剖析),谷歌广告词,Gravatar,脸谱等。CSP有必要将这些都考虑在内。
CSP现在的头文件
假如你以为这头文件现已交给给你了,我在这儿泄漏的便是隐秘。
让咱们经过其间的一些来看看,并考虑一下要挟模型。默许的SRC指令让咱们知道怎么运用JavaScript的默许来历。在这儿,咱们自己仅仅'白名单'。
default-src 'self';接下来是脚本SRC指令,是在告知浏览器正在加载JavaScript是安全的。它能维护咱们免受进犯,这真的很奇特。下面是白名单的新遗物,其间一个比如包含了nr-data.com来历的。更可怕的是*.wp.com,*.gravatar.com和一些网站或许不会操控主机用户的数据但其子域却常常改变。
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js-agent.newrelic.com https://*.nr-data.net https://*.wp.com https://*.gravatar.com https://*.wp.com https://pagead2.googlesyndication.com https://ssl.google-analytics.com https://connect.facebook.net https://www.google-analytics.com https://cdnjs.cloudflare.com https://ajax.cloudflare.com;接下来的指令是“IMG-SRC”,这是在告知浏览器加载的图片是安全的。出于某种原因,WordPress运用*.w.org和*.wp.com的链接的时刻缩短了。
img-src 'self' data: https://wordpress.org https://*.w.org https://*.gravatar.com https://*.wp.com https://ssl.google-analytics.com https://s-static.ak.facebook.com https://www.google-analytics.com;Style-src是咱们的样式表,这儿要留意些东西。
style-src 'self' 'unsafe-inline' https://*.wp.com https://*.gravatar.com https://fonts.googleapis.com;字体来历是咱们在这个网站上的网页字体,你有时还能够在这儿发现adobe。
font-src 'self' data: https://fonts.gstatic.com https://themes.googleusercontent.com;SRC的结构让咱们知道它是安全的负荷结构,尽管网站只要Facebook,双击和*.wp.com被运用。
frame-src 'self' https://*.wp.com https://*.doubleclick.net https://www.facebook.com https://s-static.ak.facebook.com;Object-src是针对目标的,但在这儿没有说到目标。
object-src 'none'";CSP的应战
是的,你或许会发现更大的应战是:你或许会发现,你的经历和你的用户的经历或许是彻底不同的。由于你所发现的过错,假如要让用户看到,或许是适当困难的。那些部分推特网安全团队的人,他们十分仁慈友爱,他们在推特网上联络了我(@ NDM)。我不太确认,自从他为推特作业,他是否会忧虑自己的三封信推特处理,由于他在推特的作业,但他十分友爱,他写信联络我,而且给了我一些链接。
现在的著作正在Git Hub上更新。
他说到,他用两个东西,一个谷歌浏览器插件CASPR和Report-URI.io。我以为这两个东西是令人惊奇的。 Report-URI.io让您发送过错事情,以便今后体系进行特定的剖析。
report-uri https://report-uri.io/report/<key>;为什么这个有价值?好像每一天我都在寻觅我需求的白名单,我没有考虑到体系的新领域。
Github的关键已被更新,Twitter也现已被更新,其间包含Twitter的短代码。
需求留意的链接:
这儿有供给许多的协助的人和一些有用的链接。
https://blog.twitter.com/2013/csp-to-the-rescue-leveraging-the-browser-for-security
https://report-ui.io
https://dev.twitter.com/web/overview/widgets-webpage-properties
https://developer.mozilla.org/en-US/docs/Web/Security/CSP
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
