CSP安全策略绕过：深入分析与实战技巧

引言

内容安全策略（Content Security Policy，CSP）作为现代Web应用的重要安全防线，旨在减轻跨站脚本（XSS）等攻击的风险。然而，随着技术的演进，攻击者不断发现新的绕过方法。本文将深入探讨CSP的工作原理、常见绕过技术及其防御措施，为开发者和安全研究人员提供实用的参考。

CSP基础回顾

CSP通过HTTP头或<meta>标签定义，告诉浏览器哪些资源可以加载或执行。一个典型的CSP策略如下：

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;

此策略允许从同源和https://trusted.cdn.com加载脚本，阻止其他来源的脚本执行。尽管CSP设计初衷良好，但配置不当或特定场景下仍可能被绕过。

常见CSP绕过技术

1. 内联脚本与eval绕过

如果策略允许unsafe-inline或unsafe-eval，攻击者可直接注入脚本：

<script>alert('XSS')</script>

案例：某网站CSP配置为script-src 'unsafe-inline'，攻击者通过评论字段注入恶意代码，成功执行。

2. JSONP端点滥用

JSONP（JSON with Padding）允许跨域请求，但如果CSP包含不安全的域名，攻击者可利用其执行代码：

<script src="https://example.com/api?callback=alert('XSS')"></script>

防御：严格限制script-src域名，避免使用过时的JSONP接口。

3. 动态标签创建

通过DOM操作创建脚本标签，绕过基于关键字的CSP检查：

const script = document.createElement('script');
script.src = 'data:text/javascript,alert("XSS")';
document.body.appendChild(script);

注意：此方法仅在允许data:协议时有效，但现代CSP通常默认禁止。

4. AngularJS沙箱逃逸

在旧版AngularJS中，沙箱漏洞可与CSP漏洞结合实现绕过：

<div ng-app>
  {{ constructor.constructor('alert("XSS")')() }}
</div>

现状：AngularJS已修复多数沙箱问题，但遗留系统仍需警惕。

5. 非脚本资源利用

如果CSP允许加载来自不可信源的样式、字体或媒体文件，攻击者可能通过恶意资源触发其他漏洞：

<link rel="stylesheet" href="https://attacker.com/evil.css">

CSS注入示例：通过CSS窃取数据或触发UI误导。

高级绕过技术

1. 策略注入与解析差异

如果用户输入被错误地包含在CSP头中，攻击者可能注入策略指令：

Content-Security-Policy: default-src 'self'; %0A script-src attacker.com;

防御：严格验证输入，避免用户控制安全头内容。

2. Service Worker与CSP交互

Service Worker在某些情况下可绕过CSP，例如通过拦截请求加载恶意资源：

// 注册Service Worker
navigator.serviceWorker.register('sw.js').then(() => {
  console.log('注册成功');
});

限制：Service Worker本身受CSP限制，但复杂场景下可能找到利用点。

3. 浏览器扩展与CSP

浏览器扩展有时拥有更高权限，可能忽略页面CSP。恶意扩展可注入脚本：

// 扩展内容脚本示例
chrome.tabs.executeScript(tabId, { code: 'alert("扩展注入")' });

建议：用户应仅安装可信扩展，开发者需考虑扩展带来的风险。

实战案例：绕过CSP执行XSS

假设某网站CSP配置为：

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com;

攻击步骤：

1. 发现JSONP端点位于https://cdn.example.com/jsonp?callback=foo。
2. 注入以下代码：

   <script src="https://cdn.example.com/jsonp?callback=alert('XSS')"></script>

3. 端点返回alert('XSS')，浏览器执行。

根本原因：CDN域名受信任，但未对回调函数进行过滤。

CSP配置最佳实践

1. 避免使用不安全指令：如unsafe-inline和unsafe-eval。
2. 严格限制源：使用非通配符源，并定期审计。
3. 启用报告模式：通过Content-Security-Policy-Report-Only监控潜在问题。
4. 结合其他安全措施：如输入验证、输出编码和HTTPS。

示例安全策略：

Content-Security-Policy: default-src 'none'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report;

未来展望

随着Web技术发展，CSP也在不断演进。CSP Level 3引入了新指令如strict-dynamic，更好地支持现代Web应用。同时，浏览器厂商正逐步淘汰不安全实践，如默认为CSP禁用内联脚本。

结语

CSP是强大的安全工具，但并非银弹。正确配置和持续维护是关键。通过理解绕过技术和实施深度防御，我们可以构建更 resilient 的Web应用。

参考文献：

1. W3C CSP Specification
2. Google CSP Evaluator
3. OWASP CSP Cheat Sheet

本文仅用于教育目的，请勿用于非法活动。