Using CSP Nonces effectively with service worker

एक हालिया परियोजना में, मैं सर्वर, सेवा कर्मचारी और ग्राहक के बीच जितना संभव हो उतना तर्क साझा करना चाहता था। यह प्रोजेक्ट अनिवार्य रूप से एक साधारण आरएसएस फ़ीड रीडर है, यह आरएसएस फ़ीड लेता है, डेटा को पार करता है और उन्हें कॉलम के एक अच्छे सेट (जैसे TweetDeck) में विलय करता है, और एक विलय सूची भी देता है।

क्योंकि मैं आरएसएस फ़ीड ले रहा हूं और अपने पेज में प्रदर्शित कर रहा हूं, इसलिए मुझे यह सुनिश्चित करने की ज़रूरत है कि यह कुछ भी बेकार नहीं कर रहा है। मैं जितना चाहूं इनपुट को स्वच्छ कर सकता हूं, हालांकि मुझे अपनी क्षमताओं को पता है, और मुझे यकीन है कि लोग आरएसएस फ़ीड को इस तरह से छेड़छाड़ कर सकते हैं कि मैं स्क्रिप्ट चलाने, छवियों या किसी अन्य तृतीय पक्ष को आयात करने में समाप्त करूंगा मेरी साइट का संदर्भ।

वेब प्लेटफॉर्म सामग्री-सुरक्षा-नीति (सीएसपी) के माध्यम से किसी साइट को लॉक करने की क्षमता प्रदान करता है। सीएसपी बाहरी स्रोतों को लॉक कर सकता है, जिससे हम स्क्रिप्ट, शैलियों, इमेज इत्यादि जैसे संदर्भ का अनुरोध कर सकते हैं। आप किसी पृष्ठ के स्क्रिप्ट को ऑनलाइन चलाने की क्षमता को भी लॉक कर सकते हैं - जो XSS प्रकार के हमलों के सभी मैनेजर को रोक सकता है।

इसे ऐप में जोड़ने के लिए बहुत आसान था।

`default-src 'self';`

हालांकि .... मेरे पास कई मुद्दे थे।

  1. मैं पृष्ठ पर शैलियों की इनलाइन उत्पन्न करता हूं और इस प्रकार मुझे स्क्रिप्ट इनलाइन चलाने की आवश्यकता होती है। 2. मुझे Google Analytics को शामिल करने की आवश्यकता है जिसके लिए पृष्ठ पर एक इनलाइन स्क्रिप्ट चलाने की आवश्यकता है।

सीएसपी आपको स्क्रिप्ट के 'असुरक्षित' नामक विकल्प को चालू करने के लिए स्क्रिप्ट और शैलियों को इनलाइन चलाने देता है, हालांकि यह सीएसपी द्वारा प्रदान की जाने वाली किसी भी सुरक्षा से बहुत अधिक पास करता है।

इनलाइन स्क्रिप्ट चलाने के लिए और अभी भी सीएसपी की सुरक्षा है, सीएसपी कुछ टूल्स प्रदान करता है। जिसे मैंने इस्तेमाल किया वह 'nonce' कहा जाता है। Nonce एक यादृच्छिक आईडी है जिसे आपने सीएसपी HTTP शीर्षलेख पर सेट किया है और यह कि आप एक संबंधित इनलाइन स्क्रिप्ट के साथ मेल खाते हैं।

** HTTP शीर्षलेख पर सीएसपी स्ट्रिंग **

`default-src 'self'; script-src 'self' https://www.googletagmanager.com https://www.google-analytics.com 'nonce-script-${nonce.analytics}'; connect-src 'self'; img-src 'self' data: https://www.google-analytics.com; style-src 'self' 'nonce-style-${nonce.style}'

** nonce का उपयोग कर इनलाइन स्क्रिप्ट **

<script src="https://www.googletagmanager.com/gtag/js?id=1111"></script>
<script nonce="script-{nonce.analytics}">
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', '{{=it.config.then(config=>config.site.googleAnalytics)}}');
</script>

उपर्युक्त कोड अच्छी तरह से काम करता है और जब हम सीएसपी के साथ साइट को सुरक्षित कर रहे होते हैं तो विश्लेषिकी को सही तरीके से काम करना आसान बनाता है।

प्रत्येक वेब अनुरोध के लिए, आपको एक अद्वितीय 'nonce' मान होना चाहिए और मैं इसे '{nonce.analytics}' के माध्यम से करता हूं जो कि एक मान है जो मैं सर्वर पर उत्पन्न करता हूं और टेम्पलेट के माध्यम से आवेदन करता हूं। यदि आप एक गैर-मूल्य का पुन: उपयोग करते हैं तो ब्राउज़र स्क्रिप्ट में सामग्री निष्पादित करने से इंकार कर देगा।

मुझे गैर मूल्यों को उत्पन्न करने में थोड़ी परेशानी थी। मुझे ऐसा कुछ चाहिए जो एक अद्वितीय मूल्य बनाएगा जो उसी उपयोगकर्ता द्वारा पुन: उपयोग नहीं किया जाएगा। मुझे लगा कि प्रारूप का एक गैर मूल्य '[स्रोत] - [date.now + request-count]' पर्याप्त होगा।

'स्रोत' मुझे nonce में नामस्थान जोड़ने की अनुमति देता है, और date.now () + एक बढ़ती अनुरोध गिनती मुझे मूल्यों का एक अपेक्षाकृत स्थिर गैर-दोहराने योग्य सेट देता है।

मैं निम्नलिखित फ़ंक्शन का उपयोग करके nonce उत्पन्न करता हूं:

function generateIncrementalNonce(source) {
  let val = 0;
  let max = Math.pow(10, 3); // Date + pow 3 gets us close to max number;

  const generate = () => {
    let now = max * +new Date();
    if(val >= max) val = 0;
    else val++;
    return (source !== undefined ? source : '') + (now + val).toString();
  }

  return generate;
};

अछा लगता है। हालांकि, मैं अपने सभी पृष्ठों को एक सेवा कार्यकर्ता में कैश करता हूं, जिसका अर्थ है कि अगर मैंने केवल कैश से सामग्री की सेवा की है तो गैर मूल्यों का पुन: उपयोग किया जाएगा और इस प्रकार निष्पादित नहीं किया जाएगा।

सौभाग्य से, मैं अपने सर्वर और सेवा कार्यकर्ता के बीच साझा तर्क हूं, जो मुझे मेरे कोड के एक केंद्रीय स्थान पर कुछ भी उत्पन्न करने की अनुमति देता है। मैं 'सर्वर' या 'सेवा-कार्यकर्ता' को गैर-मूल्य पर प्रीपेन्ड करने के लिए अपने 'generIncrementalNonce` फ़ंक्शन' में 'स्रोत' पैरामीटर का उपयोग करता हूं और मैंने सर्वर और सेवा कार्यकर्ता दोनों में प्रत्येक अनुरोध हैंडलर में यह किया है। इस स्रोत पैरामीटर का उपयोग करने का अर्थ है कि मैं गारंटी दे सकता हूं कि सर्वर के माध्यम से उत्पन्न एक गैर-मूल्य सेवा सेवा कर्मचारी के माध्यम से लोड किए गए पृष्ठ से कभी भी संघर्ष नहीं करेगा।

इस पैटर्न ने मुझे अच्छी तरह से सेवा दी है। इसने मुझे किसी भी तृतीय पक्ष को इंजेक्शन या मेरे पृष्ठ में अविश्वसनीय कोड चलाने से रोकने के दौरान Google Analytics के लिए आवश्यक इनलाइन स्क्रिप्ट को अनुमति देने की अनुमति दी है।

नीचे कोड है जिसे मैंने प्रोजेक्ट में उपयोग किया था। मेरे पृष्ठों में कई अलग-अलग जगहें हैं जिन्हें मुझे गैर मूल्यों की आवश्यकता है, मैं उन्हें प्रत्येक अनुरोध के लिए उत्पन्न करता हूं और फिर इसे अपने टेम्पलेटिंग फ़ंक्शन और HTTP शीर्षलेख पर एक ही समय में लागू करता हूं।

common.js - साझा तर्क

function generateCSPPolicy(nonce) {
  return `default-src 'self'; script-src 'self' https://www.googletagmanager.com https://www.google-analytics.com 'nonce-script-${nonce.analytics}'; connect-src 'self'; img-src 'self' data: https://www.google-analytics.com; style-src 'self' 'nonce-style-${nonce.style}' 'nonce-style-${nonce.inlinedcss}';`;
};

function generateIncrementalNonce(source) {
  let val = 0;
  let max = Math.pow(10, 3); // Date + pow 3 gets us close to max number;

  const generate = () => {
    let now = max * +new Date();
    if(val >= max) val = 0;
    else val++;
    return (source !== undefined ? source : '') + (now + val).toString();
  }

  return generate;
};

सेवा-कार्यकर्ता.जेएस - हैंडलर लाएं

const generator = generateIncrementalNonce('service-worker');
let nonce = {
  analytics: generator(),
  inlinedcss: generator(),
  style: generator()
};

// Call the route handler with all data needed
let response = all(nonce, {
  dataPath: paths.dataPath,
  assetPath: paths.assetPath
}).then(r => setHeader(r, 'Content-Security-Policy', generateCSPPolicy(nonce)));;
e.respondWith(response);

server.js - अनुरोध हैंडलर

const generator = generateIncrementalNonce('server');

let nonce = {
  analytics: generator(),
  inlinedcss: generator(),
  style: generator()
};

res.setHeader('Content-Security-Policy', generateCSPPolicy(nonce));

// Call the route handler with all data needed
all(nonce, {
      dataPath: `${paths.dataPath}${hostname}.`,
      assetPath: paths.assetPath 
    })
    .then(response => {
      node.responseToExpressStream(res, response.body)
    });

About Me: Paul Kinlan

I lead the Chrome Developer Relations team at Google.

We want people to have the best experience possible on the web without having to install a native app or produce content in a walled garden.

Our team tries to make it easier for developers to build on the web by supporting every Chrome release, creating great content to support developers on web.dev, contributing to MDN, helping to improve browser compatibility, and some of the best developer tools like Lighthouse, Workbox, Squoosh to name just a few.