Content Security Policy

Яндекс

Content Security Policy

Казаков Сергей,
младший разработчик интерфейсов

OWASP Top

A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)

Проблемы безопасности в вебе

Cross Site Scripting (XSS) - исполнение вредоносного кода в браузере пользователя
Вредоносные расширения в браузере

Что дает CSP

Помогает отлавливать и блокировать некоторые виды атак XSS
Ещё один уровень в защите на стороне фронтенда
Отчеты

Немного истории

Разработан в Mozilla Foundation
Впервые появился в Firefox 4 (март 2011 года)

Поддержка браузерами

Chrome 25+ Firefox 23+ Opera 15+ Safari 7+
Android 4.4+
IE 10+ Firefox 4-22:
- поддерживают нестандартный заголовок X-Content-Security-Policy и имеют частичную поддержку стандартного 
Chrome 14-24, Safari 5-7:
- поддерживают нестандартный заголовок X-Webkit-CSP и имеют частичную поддержку стандартного.

87.67% (+3%)

Как использовать?

Заголовки

Content-Security-Policy: <политика>
Content-Security-Policy-Report-Only: <политика>
X-Content-Security-Policy - для IE10+ и старых браузеров

Директивы

default-src
base-uri
child-src
frame-src
font-src
img-src

connect-src
media-src
object-src
report-uri
script-src
style-src

Ключевые слова

'self' - текущий хост
'none' - ничего нельзя
'unsafe-inline'
'unsafe-eval'

для Lo-Dash нужен unsafe-eval, он активно использует кодогенерацию

unsafe-inline


	<script>
	    alert('knock knock')
	</script>

	<a onclick="alert('knock knock')">link</a>

CSP-Tester

Отчет

Пример


	{
	    "csp-report": {
	        "document-uri": "http://localhost:3000/",
	        "referrer": "",
	        "violated-directive": "default-src \"self\"",
	        "effective-directive": "img-src",
	        "original-policy": "default-src \"self\";
	        	report-uri http://localhost:3000",
	        "blocked-uri": "https://yastatic.net",
	        "status-code": 200
	    }
	}

CSP 2.0

лучше, быстрее, мощнее!

CSP 2.0

Chrome 36+, FF 31+
Можно указывать не только домены, но и пути 
Отчет стал подробнее
Политику можно указывать в <meta>
Разрешение инлайн скриптов через nonce- или hash-
Больше директив. form-action, plugin-types, frame-ancestors

56.26% (+2.1%)

Бонус

План внедрения

Оценка списка загружаемых ресурсов.
Внедрение заголовка Content-Security-Policy-Report-Only.
Анализ логов.
Исправление политики.
Внедрение заголовка Content-Security-Policy (переход в режим блокировки).
Счастье пользователей :)

Советы

Использовать одновременно Content-Security-Pocily и Report-Only 
Комментировать политику
default-src: 'none' - По умолчанию ничего нельзя
CSP не распространяется на дочерние фреймы
Не использовать ' * '

Спасибо!

Казаков Сергей

младший разработчик интерфейсов

+375 (25) 769-88-02

tocher@yandex-team.ru

Tocher

bit.ly/yasb-kiev-csp-tester

bit.ly/yasb-kiev-csp-reporter

Adblock?

Яндекс

Content Security Policy

OWASP Top

Проблемы безопасности в вебе

Что дает CSP

Немного истории

Поддержка браузерами

Заголовки

Директивы

Ключевые слова

unsafe-inline

Пример

CSP 2.0

План внедрения

Советы

Спасибо!

Неееееет