【XSS】再谈CSP内容安全策略

再谈CSP内容安全策略

之前每次都是想的很浅，或者只是个理论派，事实证明就是得动手实践

参考

CSP的用法

官方文档

通过设置属性来告诉浏览器允许加载的资源数据来源。可通过Response响应头来设置，也可以直接通过meta标签来设置

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

Content-Security-policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self';

通过上述两种方式来设置CSP。

还可以设置CSPRO，它不执行限制选项，只会进行记录违反行为

Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

具体的作用范围及要求

CSP指令分为指令和指令值，指令用来指明作用区域，指令值则是用于标明该区域的js策略

        script-src：外部脚本

        style-src：样式表

        img-src：图像

        media-src：媒体文件（音频和视频）

        font-src：字体文件

        object-src：插件（比如 Flash）

        child-src：框架

        frame-ancestors：嵌入的外部资源（比如<frame>、<iframe>、<embed>和<applet>）

        connect-src：HTTP 连接（通过 XHR、WebSockets、EventSource等）

        worker-src：worker脚本

        manifest-src：manifest 文件

        dedault-src：默认配置

        frame-ancestors：限制嵌入框架的网页

        base-uri：限制<base#href>

        form-action：限制<form#action>

        block-all-mixed-content：HTTPS 网页不得加载 HTTP 资源（浏览器已经默认开启）

        upgrade-insecure-requests：自动将网页上所有加载外部资源的 HTTP 链接换成 HTTPS 协议

        plugin-types：限制可以使用的插件格式

        sandbox：浏览器行为的限制，比如不能有弹出窗口等。

• 指令值

**        *：星号表示允许任何URL资源，没有限制；

        self：表示仅允许来自同源（相同协议、相同域名、相同端口）的资源被页面加载；

        data：仅允许数据模式（如Base64编码的图片）方式加载资源；

        none：不允许任何资源被加载；

        unsafe-inline：允许使用内联资源，例如内联<script>标签，内联事件处理器，内联<style>标签等，但出于安全考虑，不建议使用；

        nonce：通过使用一次性加密字符来定义可以执行的内联js脚本，服务端生成一次性加密字符并且只能使用一次；**

用例分析

Content-Security-policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self';

上述的csp策略就是说该界面默认只允许加载本身的资源，后面的img-src等会对前面的默认设置权限进行覆盖。

CSP绕过的特殊姿势

• 利用网站允许网页跳转，讲数据外带
• iframe绕过-同源内部分界面没有做防护
• 不完整script标签绕过

我们先来了解一个小知识（敲黑板）：当浏览器碰到一个左尖括号时，会变成标签开始状态，然后会一直持续到碰到右尖括号为止，在其中的数据都会被当成标签名或者属性

还有其他各种各样的，参考上面的链接，这里只对几个脑回路比较奇的点进行分析