Using CSP Nonces effectively with service worker

ஒரு சமீபத்திய திட்டம் இல், சேவையகம், சேவை ஊழியர் மற்றும் வாடிக்கையாளர் ஆகியவற்றுக்கு இடையேயான தர்க்கம் போன்றவற்றை பகிர்ந்து கொள்ள விரும்புகிறேன். இந்த திட்டம் அடிப்படையில் ஒரு எளிய RSS ஊட்ட வாசகர், அது RSS ஊட்டங்களை எடுக்கும், தரவை பாகுபடுத்துகிறது மற்றும் அவற்றை நெடுவரிசைகளின் ஒரு நல்ல தொகுப்பை (TweetDeck போன்றது) சேர்த்து, ஒரு ஒற்றை இணைக்கப்பட்ட பட்டியலையும் இணைக்கிறது.

ஏனென்றால் நான் ஆர்எஸ்எஸ் ஊட்டங்களை எடுத்து என் பக்கத்தில் காட்டிக் கொண்டிருப்பதால், முடிந்தவரை எந்தவிதமான குறைபாடுமின்றி செயல்படவில்லை என உறுதியாக இருக்க வேண்டும். நான் விரும்பும் அளவுக்கு உள்ளீட்டை நான் சுத்தப்படுத்த முடியும், ஆனால் என் சொந்த திறமைகள் எனக்குத் தெரியும், நான் சில பயனர்கள் ஒரு RSS feed ஐ கையாள முடியும், நான் ஸ்கிரிப்ட்களை இயங்கச் செய்வேன், படங்களை இறக்குமதி செய்வேன் அல்லது வேறு எந்த மூன்றாம் தரப்பு என் தளத்தின் சூழல்.

இணைய-தளம்-உள்ளடக்க-பாதுகாப்பு-கொள்கை (CSP) வழியாக ஒரு தளத்தை பூட்டுவதற்கான திறனை வழங்குகிறது. சிஎஸ்பி போன்ற ஸ்கிரிப்ட், பாணிகள், படங்கள் முதலியவற்றைப் போன்ற உள்ளடக்கத்தை நாங்கள் கோருவதற்கு வெளிப்புற ஆதாரங்களை பூட்ட முடியும். XSS வகைகளின் தாக்குதல்களின் அனைத்து மேனரையும் தடுக்க இது ஒரு வரிக்கான ஸ்கிரிப்ட்ஸை இயக்க ஒரு பக்கத்திற்கான திறனை நீங்கள் பூட்ட முடியும்.

அதை பயன்பாட்டை சேர்க்க அழகான எளிது.

`default-src 'self';`

எனினும் .... எனக்கு பல சிக்கல்கள் இருந்தன.

  1. நான் பக்கம் உள்ள பாணியை இன்லைன் உருவாக்க மற்றும் நான் இன்லைன் ஸ்கிரிப்டை இயக்க வேண்டும். 2. கூகுள் அனலிட்டிக்ஸ் சேர்க்க வேண்டும், அதில் பக்கத்தை இயக்க இன்லைன் ஸ்கிரிப்ட் தேவைப்படுகிறது.

CSP ஸ்கிரிப்டுகள் மற்றும் பாணியை இன்லைன் மூலம் இயக்கலாம், நீங்கள் 'பாதுகாப்பற்ற-eval` என்ற ஸ்கிரிப்ட்டுகள் என்ற விருப்பத்தை இயக்கினால், CSP ஆதரிக்கும் எந்தவொரு பாதுகாப்புகளையும் கடந்து செல்லும்.

இன்லைன் ஸ்கிரிப்ட்ஸை இயக்கவும், இன்னும் சிஎஸ்பி பாதுகாப்பிற்காகவும், சிஎஸ்பி இரண்டு கருவிகளை வழங்குகிறது. நான் பயன்படுத்திய ஒன்று 'ஒரு' என்று அழைக்கப்படுகிறது. Nonce என்பது CSP HTTP தலைப்பு மீது நீங்கள் உருவாக்கிய சீரற்ற ஐடி மற்றும் அதனுடன் தொடர்புடைய இன்லைன் ஸ்கிரிப்ட்டுடன் நீங்கள் கணக்கில் எடுத்துக்கொள்ளும்.

** HTTP தலைப்பில் CSP சரம் **

`default-src 'self'; script-src 'self' https://www.googletagmanager.com https://www.google-analytics.com 'nonce-script-${nonce.analytics}'; connect-src 'self'; img-src 'self' data: https://www.google-analytics.com; style-src 'self' 'nonce-style-${nonce.style}'

** இன்லைன் ஸ்கிரிப்ட் ** பயன்படுத்துகிறது

<script src="https://www.googletagmanager.com/gtag/js?id=1111"></script>
<script nonce="script-{nonce.analytics}">
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', '{{=it.config.then(config=>config.site.googleAnalytics)}}');
</script>

மேற்கூறிய குறியீடு நன்றாக வேலை செய்கிறது மற்றும் நாம் CSP உடன் தளத்தை பாதுகாக்கும் போது பகுப்பாய்வு சரியாக வேலை செய்வதை எளிதாக்குகிறது.

ஒவ்வொரு வலை கோரிக்கைக்காக, நீங்கள் ஒரு தனிப்பட்ட 'தேவையற்ற' மதிப்பைக் கொண்டிருக்க வேண்டும் மற்றும் நான் இதை {`nonce.analytics}" வழியாக செய்கிறேன். இது நான் சர்வரில் உருவாக்கும் ஒரு மதிப்பு மற்றும் ஒரு டெம்ப்ளேட்டின் வழியாக விண்ணப்பிக்கிறது. நீங்கள் ஒரு nonce மதிப்பு பயன்படுத்தினால் உலாவி ஸ்கிரிப்ட் உள்ளடக்கத்தை இயக்க மறுக்க முடியாது.

நான் ஒரு சிறிய பிரச்சனையை உருவாக்கியுள்ளேன். ஒரே பயனரால் மீண்டும் பயன்படுத்தக்கூடிய ஒரு தனித்துவமான மதிப்பை உருவாக்கும் ஏதோ தேவை. நான் '[மூல] - [date.now + கோரிக்கை-எண்ணிக்கை]' போதிய அளவு போதிய அளவுக்கான மதிப்பீடு என்று உணர்ந்தேன்.

'மூல' என்னை ஒரு பெயர்வெளியை சேர்க்க, மற்றும் date.now () + எப்போதும் அதிகரித்து வரும் கோரிக்கை எண்ணை எனக்கு ஒப்பீட்டளவில் நிலையான மறுஅளவல்லாத மதிப்புகளை வழங்குகிறது.

நான் பின்வரும் செயல்பாட்டை பயன்படுத்தி nonce உருவாக்க:

function generateIncrementalNonce(source) {
  let val = 0;
  let max = Math.pow(10, 3); // Date + pow 3 gets us close to max number;

  const generate = () => {
    let now = max * +new Date();
    if(val >= max) val = 0;
    else val++;
    return (source !== undefined ? source : '') + (now + val).toString();
  }

  return generate;
};

நன்றாக இருக்கிறது. இருப்பினும், ஒரு சேவை ஊழியரில் எனது பக்கங்கள் அனைத்தையும் நான் கேச் செய்தேன், அதாவது நான் வெறுமனே கேச் இருந்து உள்ளடக்கத்தை சேவையிடப்பட்டிருந்தால், அல்லாத மதிப்புகள் மறுபடியும் மறுபடியும் பயன்படுத்தப்படாது, அதனால் செயல்படுத்தப்படாது.

அதிர்ஷ்டவசமாக, என் சேவையகம் மற்றும் சேவையக ஊழியர்களிடையே பகிர்வு தர்க்கம் இருக்கிறது, இது என் குறியீட்டின் ஒரு மைய இடத்தில் எனக்கு தேவையான எதையும் உருவாக்க அனுமதிக்கிறது. சேவையகம் மற்றும் சேவையக ஊழியர்களிடமிருந்து கோரிக்கை ஹேண்டலர்களில் ஒவ்வொன்றிலும் இதைச் செய்தேன் 'சேவையகம்' அல்லது 'சேவை-தொழிலாளி'க்கு நான்' என்ஜினேட் இன்ரெகமென்ட்டல்நியான்ஸ் 'செயல்பாட்டில்' மூல 'அளவுருவைப் பயன்படுத்துகிறேன். இந்த மூல அளவுருவைப் பயன்படுத்துவதால் சேவையகத்தின் மூலம் உருவாக்கப்பட்ட ஒரு nonce மதிப்பு சேவை ஊழியரால் ஏற்றப்பட்ட பக்கத்துடன் மோதியதில்லை என நான் உறுதிபடுத்திக் கொள்ள முடியும்.

இந்த முறை எனக்கு நன்றாக வேலை செய்தது. இது என் அனலிட்டிக்ஸ் தேவைப்படும் இன்லைன் ஸ்கிரிப்ட்களை அனுமதிக்கும்படி அனுமதித்துள்ளது, அதே நேரத்தில் எனது பக்கத்திலுள்ள நம்பகமான குறியீட்டை ஊடுருவி அல்லது இயங்குவதன் மூலம் எந்த மூன்றாம் தரப்பினையும் நிறுத்துகிறது.

நான் திட்டத்தில் பயன்படுத்தப்படும் குறியீடாக இருக்கிறது. என் பக்கங்களில் பல இடங்களில் என்னிடமிருந்து மதிப்புகளை வைத்திருக்கிறேன், ஒவ்வொரு கோரிக்கைக்காகவும் அவற்றை உருவாக்கி, பின்னர் என் மாதிரியாக்கம் மற்றும் HTTP தலைப்புக்கு ஒரே நேரத்தில் பயன்படுத்துகிறேன்.

common.js - பகிர்வு தர்க்கம்

function generateCSPPolicy(nonce) {
  return `default-src 'self'; script-src 'self' https://www.googletagmanager.com https://www.google-analytics.com 'nonce-script-${nonce.analytics}'; connect-src 'self'; img-src 'self' data: https://www.google-analytics.com; style-src 'self' 'nonce-style-${nonce.style}' 'nonce-style-${nonce.inlinedcss}';`;
};

function generateIncrementalNonce(source) {
  let val = 0;
  let max = Math.pow(10, 3); // Date + pow 3 gets us close to max number;

  const generate = () => {
    let now = max * +new Date();
    if(val >= max) val = 0;
    else val++;
    return (source !== undefined ? source : '') + (now + val).toString();
  }

  return generate;
};

service-worker.js - கையாளுதலை பெறுங்கள்

const generator = generateIncrementalNonce('service-worker');
let nonce = {
  analytics: generator(),
  inlinedcss: generator(),
  style: generator()
};

// Call the route handler with all data needed
let response = all(nonce, {
  dataPath: paths.dataPath,
  assetPath: paths.assetPath
}).then(r => setHeader(r, 'Content-Security-Policy', generateCSPPolicy(nonce)));;
e.respondWith(response);

server.js - கோரிக்கை கையாளுதல்

const generator = generateIncrementalNonce('server');

let nonce = {
  analytics: generator(),
  inlinedcss: generator(),
  style: generator()
};

res.setHeader('Content-Security-Policy', generateCSPPolicy(nonce));

// Call the route handler with all data needed
all(nonce, {
      dataPath: `${paths.dataPath}${hostname}.`,
      assetPath: paths.assetPath 
    })
    .then(response => {
      node.responseToExpressStream(res, response.body)
    });

About Me: Paul Kinlan

I lead the Chrome Developer Relations team at Google.

We want people to have the best experience possible on the web without having to install a native app or produce content in a walled garden.

Our team tries to make it easier for developers to build on the web by supporting every Chrome release, creating great content to support developers on web.dev, contributing to MDN, helping to improve browser compatibility, and some of the best developer tools like Lighthouse, Workbox, Squoosh to name just a few.