Spring Security配置内容安全策略

Spring Security配置内容安全策略

1、什么是内容安全策略？

内容安全策略：Content Security Policy，简称CSP，内容安全策略是一种安全机制，开发着可以通过HTTP 响应标头，可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击。CSP通过W3C WebApplication Security Working Group发布标准

标准语法：

Content-Security-Policy: ; ; ; ...

例子：

Content-Security-Policy:script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';img-src 'self' data:;connect-src 'self' http://www.baidu.com http://127.0.0.1:8080 data:;font-src 'self';object-src 'self';

2、CSP有哪些选项？

CSP1.0主要提供了这些选项的配置：

default-src：为其余指令设置默认源列表。如果其它指令没设置，就用default-src的默认配置

script-src：为JavaScript一些脚本配置安全策略

object-src：这里一般指Flash或者一些Java插件等等

style-src：css样式

img-src：图片

media-src：媒体文件（音频和视频）

frame-src：嵌入的外部资源（比如、等等）

font-src：字体文件

connect-src：HTTP 连接（通过 XHR、WebSockets、EventSource等）

CSP2.0：新增的一些主要选项

base-uri：控制是否允许文档操作页面的基本 URI。

child-src：替换frame-src.

form-action：控制文档提交 HTML 表单的能力。

frame-ancestors：像 X-Frame-Options 标题一样工作，通过控制如何将此文档嵌入到其他文档中。

plugin-types：控制页面可以加载哪些特定插件，例如 Flash、Java、Silverlight 等。

所有指令都遵循相同的模式：

self用于引用当前域

可以在空格分隔的列表中指定一个或多个 URL，一般是一些域名或者ip加端口

none表示不应为给定指令加载任何内容，例如object-src 'none’表示不应加载任何插件（如 Flash 或 Java）。

例子：

Content-Security-Policy:script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’;style-src ‘self’ ‘unsafe-inline’;img-src ‘self’ data:;connect-src ‘self’ http://www.baidu.com http://127.0.0.1:8080 data:;font-src ‘self’;object-src ‘self’;

3、设置CSP方法

前端页面设置，前端页面通过设置meta 标签

后端设置，设置response的header

public void setResponseHeader(HttpServletRequest request,HttpServletResponse response) { //内容安全策略 response.setHeader("Content-Security-Policy", "script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';img-src 'self' data:;connect-src 'self' http://www.baidu.com http://127.0.0.1:8080 data:;font-src 'self';object-src 'self';"); }

4、Spring Security设置CSP

有了前面的基础知识后，我们可以新建一个Spring Security项目来实践：

开发环境

JDK 1.8

SpringBoot2.2.1

Maven 3.2+

开发工具

IntelliJ IDEA

smartGit

Navicat15

在IDEA里集成阿里的https://start.aliyun.com，创建一个Spring Initializr项目：

选择jdk版本，和maven打包方式

项目主要的maven配置：

org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-thymeleaf

spring-boot-starter-security：springboot集成的spring security starter

spring-boot-starter-web：web相关的starter

spring-boot-starter-thymeleaf：使用thymeleaf在前面页面渲染

加一个简单的登录页面：

需要自己开发的一些接口，比如需要自定义登录页面的login接口和收集信息的report接口

package com.example.security.controller; import cn.hutool.core.io.IoUtil; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.ResponseBody; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.nio.charset.StandardCharsets; @Controller @Slf4j public class ContentSecurityPolicyController { @GetMapping(value = {"/login"}) public ModelAndView toLogin() { return new ModelAndView("login"); } @PostMapping(value = {"/report"}) @ResponseBody public String report(HttpServletRequest request) throws IOException { String report = IoUtil.read(request.getInputStream(), StandardCharsets.UTF_8); if (log.isInfoEnabled()) { log.info("Report: {}", report); } return report; } }

我们在配置类里注释.contentSecurityPolicy("form-action 'self'; report-uri /report; report-to csp-violation-report");，然后登录页面，发现页面被一个外部链接的接口窃取了一些登录用户信息，这样是很危险的

所以，需要在配置类加上内容安全策略的设置form-action 'self';，form-action设置为self，就不能被外部链接提交from表单，只有当下的域名，打开控制台，可以看到报错，被拦截了：

查看网络，response里会有这些信息：

5、参考资料

https://www.ruanyifeng.com/blog/2016/09/csp.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

https://www.baeldung.com/spring-security-csp

Spring

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。