点击劫持:CSP frame-ancestors 缺失
- 什么是Content Security Policy(CSP)
- 启用CSP的两种方法
- CSP的实例
- CSP指令介绍
- 限制选项
- default-src
- 点击劫持:CSP frame-ancestors 缺失
- 参考
什么是Content Security Policy(CSP)
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。
可以通过Content Security Policy来限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。
CSP 本质上是白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。
CSP最初被设计用来减少跨站点脚本攻击(XSS),该规范的后续版本还可以防止其他形式的攻击,如点击劫持。
启用CSP的两种方法
启用CSP的方法有两种
- 第一种是通过设置一个HTTP响应头(HTTP response header) “Content-Security-Policy”
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:
- 第二种是通过HTML标签<meta>设置
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'">
CSP的实例
Content-Security-Policy:
script-src 'self';
object-src 'none';
style-src cdn.zenwu.site zenkin.win;
child-src https:
这段代码中,CSP 做了如下配置。
- 脚本(script-src):只信任当前域名;
- 标签(object-src):不信任任何URL,即不加载任何资源;
- 样式表:只信任cdn.zenwu.site和zenkin.win;
- 框架(frame)(child-src):必须使用HTTPS协议加载;
- 其他资源:没有限制
CSP指令介绍
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。
csp资源加载项限制指令如下:
script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>)connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等)worker-src:worker脚本manifest-src:manifest 文件default-src:用来设置上面各个选项的默认值。上述指令对应的值如下:
限制选项
CSP 提供了很多限制选项,涉及安全的各个方面。
以下选项限制各类资源的加载:
- script-src:外部脚本
- style-src:样式表
- img-src:图像
- media-src:媒体文件(音频和视频)
- font-src:字体文件
- object-src:插件(比如 Flash)
- child-src:框架
- frame-ancestors:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>)
- connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等)
- worker-src:worker脚本
- manifest-src:manifest 文件
default-src
default-src用来设置上面各个选项的默认值。
Content-Security-Policy: default-src 'self'
上面代码限制所有的外部资源,都只能从当前域名加载。
如果同时设置某个单项限制(比如font-src)和default-src,前者会覆盖后者,即字体文件会采用font-src的值,其他资源依然采用default-src的值。
点击劫持:CSP frame-ancestors 缺失
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制 。
服务器在 Content-Security-Policy 报头中未返回 frame-ancestors 指令,这意味着此网站存在遭受点击劫持攻击的风险。frame-ancestors 指令可被用于指示是否应允许浏览器在框架内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。
如果安全报告提示“点击劫持:CSP frame-ancestors 缺失”,配置如下即可:
Content-Security-Policy: frame-ancestors <source>;
具体source内容查看此链接内容
需要注意,虽然配置了default-src,漏洞扫描报告还是会提示frame-ancestors缺失。
参考
CSP概要
Content Security Policy 入门教程
内容安全策略CSP(Content-Security-Policy)
