內(nèi)容安全策略研究綜述

劉樹(shù)凱， 顏學(xué)雄， 王清賢， 趙 旭

(1.解放軍信息工程大學(xué)； 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室， 鄭州 450001)

內(nèi)容安全策略研究綜述

劉樹(shù)凱， 顏學(xué)雄， 王清賢， 趙 旭

(1.解放軍信息工程大學(xué)； 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室， 鄭州 450001)

從發(fā)展歷程、安全目標(biāo)、實(shí)現(xiàn)方法、研究進(jìn)展等方面對(duì)內(nèi)容安全策略進(jìn)行了綜述，并展望了未來(lái)的主要研究方向。

內(nèi)容安全策略；跨站腳本；Web應(yīng)用

基于Web開(kāi)發(fā)的應(yīng)用系統(tǒng)已廣泛應(yīng)用于各行各業(yè)，成為人們生活工作的一部分。以HTML5為代表的新一代Web技術(shù)的快速發(fā)展，瀏覽器擴(kuò)展、Chrome應(yīng)用等的日漸流行，以及Chromium os、Mozilla boot2gecko等瀏覽器操作系統(tǒng)的引入，預(yù)示著Web應(yīng)用發(fā)展新時(shí)代的到來(lái)。與此同時(shí)，Web應(yīng)用面臨的安全風(fēng)險(xiǎn)也前所未有，跨站腳本(Cross-Site Scripting，簡(jiǎn)稱XSS)攻擊就是最突出的例子。近年來(lái)，主流的Web服務(wù)(Google、Facebook和Twitter等)都曾多次遭受跨站腳本的攻擊[1-3]。目前，跨站腳本攻擊已經(jīng)超過(guò)緩沖區(qū)溢出攻擊，成為一種最猖獗的攻擊方式。

內(nèi)容安全策略(Content Security Policy，簡(jiǎn)稱CSP)是針對(duì)跨站腳本攻擊最有效的解決方案之一。它由Sterne B于2008年提出，最初的目的是創(chuàng)建一個(gè)無(wú)所不包的機(jī)制以消除跨站腳本等常見(jiàn)的Web漏洞[4]。2010年Stamm S等[5]系統(tǒng)闡釋了CSP的基本思想和策略語(yǔ)言，并給出了基于FireFox的原型實(shí)現(xiàn)。從此，CSP的概念在全球迅速推廣。

2011年3月Firefox 4.0發(fā)布，首次把CSP當(dāng)作一種正式的安全策略規(guī)范應(yīng)用到瀏覽器中。谷歌在2011年9月發(fā)布的Chrome14.0支持CSP。

2011年11月W3C在官網(wǎng)上發(fā)布了CSP1.0草案。2012年2月Chrome25版本發(fā)布，并宣布支持W3C的CSP1.0標(biāo)準(zhǔn)。2013年6月Firefox宣布在23版本中全面支持W3C的CSP1.0標(biāo)準(zhǔn)。IE10開(kāi)始部分地支持CSP1.0[6]，現(xiàn)在CSP1.0已得到主流瀏覽器的全面支持。

2013年6月，CSP1.1標(biāo)準(zhǔn)發(fā)布[7]，2014年7月CSP2標(biāo)準(zhǔn)發(fā)布[8]。Chrome應(yīng)用和Chrome擴(kuò)展開(kāi)發(fā)技術(shù)也全面支持CSP。至此，CSP已經(jīng)發(fā)展成為一個(gè)非常全面的廣泛使用的安全框架。

本文將分別從安全目標(biāo)、方法和實(shí)現(xiàn)等方面系統(tǒng)地分析CSP安全機(jī)制，從W3C標(biāo)準(zhǔn)的演變、改進(jìn)、可用性等方面介紹CSP的研究進(jìn)展，并展望未來(lái)的研究方向。

1 CSP安全機(jī)制分析

1.1 安全目標(biāo)

CSP是為Web應(yīng)用開(kāi)發(fā)者控制網(wǎng)站中的嵌入內(nèi)容而提供的一種安全機(jī)制。其核心思想是讓站點(diǎn)管理員可以規(guī)定關(guān)于單個(gè)頁(yè)面的行為，例如，允許開(kāi)發(fā)者為站點(diǎn)設(shè)置內(nèi)容加載的規(guī)則。

設(shè)定一個(gè)站點(diǎn)S，CSP的目標(biāo)是允許網(wǎng)站管理員使用一個(gè)內(nèi)容加載的規(guī)則集合來(lái)控制S的行為和外觀。此外，CSP保證站點(diǎn)S的訪問(wèn)者提供的信息只傳送給S或者其他由S授權(quán)的站點(diǎn)。

具體地說(shuō)，CSP的安全目標(biāo)包括以下幾個(gè)方面：

(1)加強(qiáng)跨站腳本漏洞防護(hù)。如果網(wǎng)站存在跨站腳本漏洞，攻擊者不能加載第三方的資源，也不能向未授權(quán)的主機(jī)傳送信息。同時(shí)，跨站腳本攻擊發(fā)生時(shí)，注入的腳本不會(huì)被執(zhí)行，并且會(huì)通知站點(diǎn)管理員發(fā)生了攻擊。

(2)只加強(qiáng)安全性。確保使用CSP時(shí)不會(huì)引入新的安全問(wèn)題。不為Web攻擊者提供新的功能，例如不允許干擾網(wǎng)站的可操作性、不增加收集訪問(wèn)者信息的方法等。

(3)靈活易用，兼容原有的Web應(yīng)用。CSP在內(nèi)存和時(shí)間等方面不會(huì)導(dǎo)致開(kāi)銷的過(guò)多增加，并能夠輕易地被采用。不使用CSP的Web應(yīng)用可以在支持CSP的瀏覽器中正常運(yùn)行，而使用CSP的Web應(yīng)用仍然可以在不支持CSP的瀏覽器中工作。

1.2 基本方法

CSP在HTTP響應(yīng)頭中傳輸策略，由Web瀏覽器負(fù)責(zé)執(zhí)行CSP策略以控制受保護(hù)的文檔內(nèi)容。雖然W3C規(guī)定Content-Security-Policy為標(biāo)準(zhǔn)響應(yīng)頭域，但Chrome瀏覽器和FireFox瀏覽器仍然分別支持X-Webkit-CSP和X-Content-Security-Policy頭域。

當(dāng)在一個(gè)Web頁(yè)面中聲明使用CSP時(shí)，則默認(rèn)為禁用以下兩類功能以分離內(nèi)容和代碼：

(1)禁用內(nèi)聯(lián)的JavaScript腳本，包括