Content Security Policy
i praksis

Jon Are Rakvåg
SpareBank 1

HTTP/1.1 200 OK
Content-Security-Policy: ...
Content-Security-Policy-Report-Only: ...

<html>
<head>
<meta http-equiv="Content-Security-Policy" content="...">

Content-Security-Policy: directive; directive; directive

Content-Security-Policy: script-src static.sparebank1.no;
                         style-src 'self' static.sparebank1.no;
                         object-src 'none';
                         default-src 'self';
                         report-uri /log/csp

Directives

Fetch	Document	Navigation	Reporting	Other
child-src	base-uri	form-action	report-uri	block-all-mixed-content
connect-src	plugin-types	frame-ancestors	report-to	referrer
default-src	sandbox	navigation-to		require-sri-for
font-src	disown-opener			upgrade-insecure-requests
frame-src
img-src
manifest-src
media-src
object-src
prefetch-src
script-src
style-src
worker-src

Demo

1. KWAHC Intro - vis i vanlig Chrome Legge inn XSS payload Det er ikke bra, og en av situasjonene der CSP kan hjelpe. 2. Bygge opp første versjon CSP i report-uri Trykk gjennom Generer og les gjennom Content-Security-Policy: default-src 'none' ; script-src 'self' ; style-src 'self' ; img-src 'self' ; font-src 'self' ; connect-src 'self' ; object-src 'none' ; frame-src 'none' ; frame-ancestors 'none' ; form-action 'self' ; upgrade-insecure-requests; 3. Få CSP inn på server Kan legge inn som vanlig kode, men Ofte vil ikke testsystem og prodsystem være helt likt ned på de viktige detaljene med CSP. -Hostnavn, innhold kan være litt forskjellig Vi kan ta et skritt tilbake, og utnytte at arkitekturen er som den er. Dette er en kontrakt mellom server og nettleser. Vi kan steppe inn mellom server og nettleser, og injisere vår egen CSP ved å modifisere http-responsen 4. OWASP ZAP Intro, launch Chrome, replacer Vis CSP i Chrome for KWASHC Bare vi i hele verden som har denne CSP'en Men det gjelder for oss for alle sider i hele verden 5. Utvid CSP gjennom konsollfeilmeldinger ... unsafe-inline vs hash vs nonce unngå unsafe-inline hash: oppgitt og enklet, men brekker om man endrer på et eneste tegn i scriptet. Velegnet dersom man har legacy inline-kode. nonce: kommer tilbake til det Resultat Content-Security-Policy: default-src 'none' ; script-src 'self' code.jquery.com 'sha256-CGYyHS8cQDmy3OZhb8SAuWNYZA62HZo3+kyZUKP+vmI=' 'sha256-YyqwI4T7AD/UUsOAHEspjPDpFXBMshnIO5L24i2WQ8s='; style-src 'self' 'sha256-j0bVhc2Wj58RJgvcJPevapx5zlVLw6ns6eYzK/hcA04=' 'sha256-j6Tt8qv7z2kSc7fUs0YHbrxawwsQcS05fVaX1r2qrbk=' 'sha256-p4cncjf0hAIeTSS5tXecf7qTUanDC27KdlKhT9eOsZU='; img-src 'self' ; font-src 'self' ; connect-src 'self' ; object-src 'none' ; frame-src 'none' ; frame-ancestors 'none' ; form-action 'self' ; upgrade-insecure-requests;

Praktisk framgangsmåte

Bygg en CSP med OWASP ZAP
Sett opp rapporteringstjeneste, f. eks report-uri.com
=> Content-Security-Policy-Report-Only
Følg med på rapporteringen, og oppdater
Endre til Content-Security-Policy (enforce)

host-based | strict-dynamic

for script-src og style-src

public String generateNonce(){
   byte[] nonceBytes = new byte[16];                      //128 bits
   new SecureRandom().nextBytes(nonceBytes);              //populate
   return Base64.getEncoder().encodeToString(nonceBytes); //encode
}

Content-Security-Policy: script-src 'strict-dynamic'
			'nonce-o73WIx9dlTnmzQk2lBdkzA=='; (...)

<script src="https://www.google.com/good.js"
nonce="o73WIx9dlTnmzQk2lBdkzA=="/> <!-- ok -->

<script src="https://www.google.com/evil.js"/> <!-- nope -->

Noen ord om alternativ tilnærming til script-src og style-src (anti-XSS) Hittil har vi oppgitt hvilke hosts vi vil laste script og styles fra Det funker ganske bra der vi kontrollerer hostene vi laster fra Mer problematisk der vi laster script fra andre, bruker JSONP eller har brukercontent Kjør policy gjennom https://csp-evaluator.withgoogle.com/ Legg til www.google.com på script, vis advarselen Ikke bare hoster google.com alt mulig rart av script men også JSONP. Kan inneholde callbacks som tillater vilkårlige scripts host-basert tilærming lugger litt når man laster ting fra "hele verden" strict-dynamic instruerer nettleseren til å ignorere hostliste, og kun bruke hash eller nonce nonce - number used once - tilfeldig verdi for denne pageloaden På mange måter enklere enn host-listen, men forutsetter logikk som genererer nonce og syr den inn i header og html

Oppsummering

Bruk CSP
Rapportering i sky
Utvikle mot prod med ZAP
Unngå ting som heter unsafe
'strict-dynamic' + nonce kan være mest robust

Lenker

Slides: jonare.github.io/jz18

Mozilla Developer Network: CSP
report-uri.com CSP Builder
GitHub's post-CSP journey
Google CSP Evaluator
OWASP ZAP
KWASHC

Jon Are Rakvåg | @jonarer