关于javascript:你不能不知道的安全性-HTTP-headers

60次阅读

共计 3317 个字符,预计需要花费 9 分钟才能阅读完成。

作者:Larry Lu
译者:前端小智
起源:stackabuse

有幻想,有干货,微信搜寻 【大迁世界】 关注这个在凌晨还在刷碗的刷碗智。

本文 GitHub https://github.com/qq449245884/xiaozhi 已收录,有一线大厂面试残缺考点、材料以及我的系列文章。

随着网络上的 Web 利用越来越多,为了晋升安全性,当初跟安全性无关的 HTTP header 也是多到记不得。因为各种不同性能的 HTTP header 切实太多,所以这边想要介绍几个比较简单、好设定的安全性 headers,只有把这些 headers 加进去,网站就会忽然变平安哦~

Content Security Policy (CSP)

首先是历史悠久的 CSP,这个 header 是用来限度浏览器只能从哪些地方载入资源。譬如说我设定 Content-Security-Policy: default-src larry.com,就代表我限度浏览器只能从 larry.com 这个域名载入图片、CSS、字体等等各种资源

当然想设定很多个域名也是能够的,只有始终往下接就能够了。下图开发者工具的内容是我上 Github 首页时 response header 裡的 CSP 设定,他就是把 uploads.github.comapi.github.com 等等很多个网域都加进去,尽管看起来很简短,但至多有一个白名单,不会莫名其妙载入其余域名的货色

如果想针对不同类型的资源有不同的 policy(尽管比拟麻烦但会更平安),那也能够写成 Content-Security-Policy: img-src a.com; font-src b.com 的模式,那浏览器就会晓得你心愿只能从 a.com 载入图片、从 b.com 载入字体

想看还有哪些属性能够设定能够参考 MDN 上的 Directives

那限度域名有什么用呢?如果哪天黑客在我的网站上发现了一个 XSS 破绽,让他能够在首页的 HTML 中退出一段 <script src=“hacker.com/evil.js”>,那每一个使用者到我的网站时浏览器就会载入歹意的 evil.js,让黑客能够做一些坏坏的事件,譬如说从新导向、偷走帐号密码等等

但如果有把 CSP 设定成 Content-Security-Policy: default-src larry.com 的话,浏览器就会回绝载入 evil.js(下图),因为那个脚本是从 hacker.com 来的。因而尽管 CSP 不能齐全防堵 XSS,但能加重 XSS 造成的影响,因为如果攻击者不能从内部载入歹意资源,那能够做的事件也绝对比拟少一点

Strict Transport Security (HSTS)

HSTS 的全名是 HTTP Strict Transport Security,听过这个 header 的人可能比拟少一点,他是用来 强制浏览器只能应用平安的 HTTPS 协定跟网站进行连线,而不能应用 HTTP

譬如说很多网站其实用 HTTP 跟 HTTPS 都连得上,但考量到安全性,当然是心愿使用者都走 HTTPS。这时只有在 header 裡加上 Strict-Transport-Security: max-age=31536000; includeSubDomains,那在往后的 31536000 秒内(其实就是一年啦 XD),只有使用者的浏览器看到这个域名或他的子域名,就会全副改成用 HTTPS 进行连线,真的是很不便呢

也因为当初网站简直都有 HTTPS 了,所以像平时会用到的 Google、Medium、Facebook 都能够看到 HSTS 的形迹,只是大家设定的 max-age 稍有不同,比拟常看到的大略会是 31536000(一年)、15552000(180 天)这类的数字

X-Content-Type-Options

听过这个 header 的人可能又更少了,在讲这个 header 之前,得先来谈谈什麽是 content sniffing:一般来说浏览器会通过 Content-Type 来判断申请到的资源是什麽类型,像透过 <script src="script.js"> 拿到的 Content-Type 个别都是 text/javascript,因而浏览器看到之后就会拿来执行

但有些网站(尤其是十几二十年前的旧网站)在开发时并没有把 Content-Type 设好,导致某些 JS 档的 Content-Type 是 text/plain,也就是纯文字档。为了让这些网站能够顺利运作,浏览器除了参考 Content-Type 之外,也会做 content sniffing 从档案内容分析是什麽类型,如果剖析出是 JS 那就会拿去执行,这样旧网站才不会坏掉

但 sniffing 这个动作看似贴心,却也是一个弱点。譬如说有些网站容许使用者上传资源,那攻击者就能够歹意上传一些有 JS 个性的 JPG 档(这些图片会被浏览器判断成脚本)。接著想方法让这张图片被载入到前端来,导致裡面的歹意脚本被执行,造成 XSS 攻打

为了避免浏览器在那边乱猜资源的 Content-Type 是什麽(而且麻烦的是每个浏览器猜的形式还不太一样),咱们要在 headers 裡面加上 X-Content-Type-Options: nosniff 通知浏览器间接用 header 裡面提供的 Content-Type 就好,不要在那边瞎猜,如此一来就不会再有纯文字、图片被判断成脚本这种事

但也因为加了 nosniff,所以务必要留神各种资源的 Content-Type 有没有设定好,因为浏览器不会帮你猜,如果你真的把 JS、CSS 的 Content-Type 设错,那浏览器就不会把它跑起来,网站看起来也就怪怪的

X-Frame-Options

平时在写网页时,若是想把其余网页的内容拿过去用(下图),能够用 <iframe src="https://website.com"> 把他嵌入进来;反之,若是他人想把我做的网站嵌入到他的网站裡面也是能够的

那这样会有什麽资安疑虑呢?万一有个坏坏网站,他通过 iframe 把气象局网页嵌入进去后,用 CSS 把那个 iframe 调成通明的,而后在通明的 iframe 背地放一些按钮(下图)。那使用者在坏坏网站上点击我很帅、我帅爆时,就会不小心点到气象局的网站,这种攻打就称作 Clickjacking

如果点到的只是气象局网站那不会怎麽样,反正怎麽点也就是那样。但万一被嵌入的是某银行的网站呢?那使用者可能就会被精心设计的按钮给骗到,在有意识的状况下就按了 iframe 裡面的转帐、提款等等按钮

为了要防止这类问题,最好的办法就是加上 X-Frame-Options: deny 这个 header,意思是通知浏览器说我这个网站不想被嵌入(为了平安起来大部分的银行都会加这个 header)

所以当我想在本人的网站上把玉山银行的页面嵌入进来时,浏览器就会喷出ebank.esunbank.com.tw 不容许在被别的网站嵌入”的谬误。因为玉山银行的页面基本不容许被嵌入,也就防止了基于 iframe 的 Clickjacking 攻打

总结

明天介绍了 CSP、HSTS、X-Content-Type-Options 跟 X-Frame-Options 总共四个跟安全性无关的 HTTP headers,这些 headers 不只用起来轻松简略,加上去基本不必十分钟,而且又能够大幅提高安全性,所以曾经是网站开发不可短少的 HTTP headers 了

除了这四个之外其实还有 X-XSS-Protection、Expect-CT、Public-Key-Pins、Feature-Policy 等等很多 header,但因为有些成果没那麽大、有些则是曾经被宣佈弃用了,所以这边就暂且不提,有趣味能够本人到 Owasp Secure Headers 下面看看~


代码部署后可能存在的 BUG 没法实时晓得,预先为了解决这些 BUG,花了大量的工夫进行 log 调试,这边顺便给大家举荐一个好用的 BUG 监控工具 Fundebug。

https://medium.com/starbugs/m…

交换

有幻想,有干货,微信搜寻 【大迁世界】 关注这个在凌晨还在刷碗的刷碗智。

本文 GitHub https://github.com/qq44924588… 已收录,有一线大厂面试残缺考点、材料以及我的系列文章。

正文完
 0