使用SRI保护你的网站免受第三方CDN恶意攻击
2018-01-04 14:36
585 查看
出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。
然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换掉。虽然可能性不高,但不是零。JavaScript 对于当前浏览器页面有完全控制权,他们不仅仅能获取到页面上的任何内容,还能抓取用户输入的一些诸如密码之类的机密信息,还能获取到保存到 Cookie 中的登录票据等等内容,这就是所谓的 XSS 攻击。
我们需要一种机制确保从 CDN 下载的文件未被恶意篡改。某些下载网站就提供下载文件的 MD5 或 SHA1 码用于检查所下载文件的完整性,网页中有没有类似的机制呢?
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制,它用于让浏览器检查所下载的来自第三方的资源(例如
CDN)未被恶意篡改。它使用哈希值检查确保第三方资源的完整性。只要开发者提供了被需下载资源的哈希值,浏览器就可以检查实际下载的文件是否与预期的哈希值匹配。
只需给 script 或 style 标签添加
JavaScript
CSS
值得注意的是,因为启用
CORS,百度静态 CDN 还不支持。
当浏览器遇到一个带有
JS 脚本或应用其中的 CSS 样式之前,浏览器会首先计算所下载文件的内容的哈希值是否与
如果计算结果与给定值不匹配,浏览器会拒绝执行脚本内容,并报出一个网络错误,类似如下结果:
这是 SRI 标准文档提供的例子:
使用了
输出
网上也有现成的 SRI 哈希值生成器,方便好用:https://srihash.org/
你可以使用 内容安全政策 (CSP)强制要求当前页面所有脚本加载标签启用 SRI。例如
强制要求所有 script 标签启用 SRI,浏览器会拒绝加载未启用 SRI 的 script 标签。
对应的还有 CSS 版本:
你也可以同时启用两者。
使用 CDN 时别忘了当尝试从 CDN 加载文件失败后加载本地版本:
本文来自:https://segmentfault.com/a/1190000011337230
然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换掉。虽然可能性不高,但不是零。JavaScript 对于当前浏览器页面有完全控制权,他们不仅仅能获取到页面上的任何内容,还能抓取用户输入的一些诸如密码之类的机密信息,还能获取到保存到 Cookie 中的登录票据等等内容,这就是所谓的 XSS 攻击。
我们需要一种机制确保从 CDN 下载的文件未被恶意篡改。某些下载网站就提供下载文件的 MD5 或 SHA1 码用于检查所下载文件的完整性,网页中有没有类似的机制呢?
什么是 SRI
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制,它用于让浏览器检查所下载的来自第三方的资源(例如CDN)未被恶意篡改。它使用哈希值检查确保第三方资源的完整性。只要开发者提供了被需下载资源的哈希值,浏览器就可以检查实际下载的文件是否与预期的哈希值匹配。
使用 SRI
只需给 script 或 style 标签添加 integrity属性即可。例如:
JavaScript
<script src="https://code.jquery.com/jquery-3.2.1.min.js" integrity="sha384-xBuQ/xzmlsLoJpyjoggmTEz8OWUFM0/RC5BsqQBDX2v5cMvDHcMakNTNrHIW2I5f" crossorigin="anonymous"></script>
CSS
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/normalize/7.0.0/normalize.min.css"integrity="sha384-7tIwW4quYS2+TZCwuAPnUY+dRqg28ylzlIoVXAwpfiTs+CMKsAOSsWYQ96c/ZnV+" crossorigin="anonymous">
integrity属性值以
shaXXX-开头,表示后面的哈希值使用的哈希算法,目前只允许
sha256、
sha384或
sha512这三种哈希算法,以
sha384比较多见。后面跟对应的哈希值即可。
值得注意的是,因为启用
SRI需要获取所下载文件的内容进行计算,所以需要 CDN 服务器启用跨域资源访问(CORS)支持,即返回
Access-Control-Allow-Origin: *头。客户端需要使用跨域的形式加载指定文件,即添加
crossorigin="anonymous"属性。就我所知,目前国内相对常用的免费 CDN bootcdn 已经支持
CORS,百度静态 CDN 还不支持。
浏览器如何处理 SRI
当浏览器遇到一个带有 integrity的 script 或 style 标签,在执行其中的
JS 脚本或应用其中的 CSS 样式之前,浏览器会首先计算所下载文件的内容的哈希值是否与
integrity属性给定的值相同。
如果计算结果与给定值不匹配,浏览器会拒绝执行脚本内容,并报出一个网络错误,类似如下结果:
Failed to find a valid digest in the 'integrity' attribute for resource 'https://cdnjs.cloudflare.com/ajax/libs/normalize/6.0.0/normalize.min.css' with computed SHA-256 integrity 'VbcxqgMGQYm3q8qZMd63uETHXXZkqs7ME1bEvAY1xK8='. The resource has been blocked.
如何计算哈希值
这是 SRI 标准文档提供的例子:$ echo -n "alert('Hello, world.');" | openssl dgst -sha384 -binary | openssl base64 -A
使用了
OpenSSL这个 *nix 中通常都包含的工具计算哈希值。其中
alert('Hello, world.');是文件内容,你也可以用
cat Filename.js直接读取某个文件。
输出
H8BRh8j48O9oYatfu5AZzq6A9RINhZO5H16dQZngK7T62em8MUt1FLm52t+eX6xO,在此基础上添加前缀
sha384-就可以了。
网上也有现成的 SRI 哈希值生成器,方便好用:https://srihash.org/
CSP 与 SRI
你可以使用 内容安全政策 (CSP)强制要求当前页面所有脚本加载标签启用 SRI。例如Content-Security-Policy: require-sri-for script;
强制要求所有 script 标签启用 SRI,浏览器会拒绝加载未启用 SRI 的 script 标签。
对应的还有 CSS 版本:
Content-Security-Policy: require-sri-for style;
你也可以同时启用两者。
错误恢复
使用 CDN 时别忘了当尝试从 CDN 加载文件失败后加载本地版本:<script src="https://code.jquery.com/jquery-3.2.1.min.js" integrity="sha384-xBuQ/xzmlsLoJpyjoggmTEz8OWUFM0/RC5BsqQBDX2v5cMvDHcMakNTNrHIW2I5f" crossorigin="anonymous"></script> <script>if (!window.jQuery) document.write('<script src="/jquery-3.2.1.min.js"><\/script>')</script>
本文来自:https://segmentfault.com/a/1190000011337230
相关文章推荐
- 网站请勿随意使用第三方CDN资源调用公开库资源 - 聆听分享网
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- 用 Apache 服务器模块保护您的网站免受应用层 DOS 攻击 | Linux 中国
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法
- evasive 模块保护您的网站免受应用层 DOS 攻击
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- 用 Apache 服务器模块保护您的网站免受应用层 DOS 攻击
- 如何使用 Fail2Ban 保护服务器免受暴力攻击
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法
- 如何保护我的站点免受SQL入攻击——常见网站攻击手段原理与防御
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)
- 与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击
- 五个步骤,保护移动应用免受恶意攻击
- 五个步骤,保护移动应用免受恶意攻击
- 获取使用CDN网站的真实IP
- 优化网站设计(二):使用CDN
- 大型网站架构演化(六)——使用反向代理和CDN加速网站响应
- Nginx网站使用CDN之后禁止用户真实IP访问的方法