Content Security Policy, baptisé CSP, est une nouvelle technologie créée par la fondation Mozilla dans le but de se protéger contre les attaques XSS!
Dans les trois dernière années, l’exploitation des attaques XSS et CSRF Injection a connu une très grande croissance, on a vu pas mal d’incidents et des hackages de sites populaires et de grands comptes comme facebook , imageshack, domaintools, godady…, les ingénieurs de mozilla security team ont pensé à une solution et nous ont inventé CSP!

CSP, c’est quoi au juste?

En principe, les attaques XSS sont possibles car toutes les données chargées depuis un serveur http sont interprétées par le navigateur avec les droits que le client possède, le code JavaScript et tout le contenu chargés (y compris les scripts externes) sont combinés dans un même conteste de sécurité (Policy) et permettent l’accès à la totalité du DOM. Content Security Policy nous apporte un mécanisme pour indiquer explicitement au navigateur quel contenu est légitime, de cette façon le navigateur pourra interrompre l’exécution et restreindre l’accès au DOM de tout contenu non autorisé et sans perdre des fonctionnalités dans le site!

CSP est destiné aux web designers et administrateurs système afin de designer la façon avec laquelle les données doivent interagir avec leurs sites, son implémentation permettra la détection des attaques de type XSS et injection de code HTML et minimiser les risques d’une potentielle exploitation d’un de ces deux vecteurs d’attaque

Comment ça marche ?

Le principe de CSP est d’appliquer un ensemble de restrictions sur l’exécution des scripts et les autoriser seulement à partir d’une liste blanche créée par le webmaster, ainsi tout exécution de script ou de code chargé depuis un site non figurant cette liste sera bloqué, on pourra par exemple autoriser seulement les scripts provenant de Google API, et Youtube et restreindre l’accès à tout autre domaine externe!

Voici une liste de quelques actions bloquées par CSP:

• les balise <script>
• les URI javascript:fonction()
• les évènements placés dans les attribut (<a onclick= »return foo() »>)
• les fonctions avec le constructeur var f = new Function(« code malveillant… »)
• data URI genre : data:text/plain;base64,ZXZpbGNvZGU=

Une liste complète de restrictions est disponible sur le wiki officiel de mozilla

Comment activer CSP sur son site?

Pour activer cette protection sur votre site, il vous suffit d’ajouter X-Content-Security-Policy dans l’entête HTTP de vos pages, voici un exemple simple pour autoriser l’exécution des scripts seulement depuis le même domaine :

X-Content-Security-Policy: allow 'self'

Un exemple pour autoriser le chargement des images depuis tous les domaines et les scripts seulement depuis api.google.com:

X-Content-Security-Policy: allow 'self'; img-src *; \
script-src api.google.com

Notifications

L’avantage de CSP c’est qu’il possède un mécanisme de notification permettant de notifier le webmaster lors de la violation d’une règle, la notification est sous forme d’un rapport que le navigateur envoie via une requête HTTP POST en XML, et contient les entêtes HTTP de la requête effectuée par le client, l’url bloqué, la directive violée et le site de provenance! de cette façon administrateur du site pourra détecter les défaillances et d’éventuels problèmes de sécurité qui peuvent menacer son site!

Voici le schéma d’une requête de notification :

<?xml version="1.0" encoding="ISO-8859-1" ?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="csp-report">
<xs:complexType>
<xs:sequence>
<xs:element name="request" type="string" use="required" />
<xs:element name="request-headers" type="string" />
<xs:element name="blocked-uri" type="string" />
<xs:element name="violated-directive" type="string" use="required" />
<xs:element name="original-policy" type="string" use="required" />
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>

Exemple de rapport lors de l’appellation d’un script depuis un domaine non autorisé (attacker.ltd)

<csp-report>
<request>GET /page.php HTTP/1.1</request>
<request-headers><![CDATA[
Host: domain.ltd
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9) Gecko/2008061015 Firefox/3.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr-fr,fr;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
]]></request-headers>
<blocked-uri>http://attacker.ltd/evilscript.js</blocked-uri>
<violated-directive>script-src self</violated-directive>
<original-policy>allow none; script-src *, allow self; script-src self</original-policy>
</csp-report>

On peut placer l’entête dans une balise méta dans le <head>:

<meta http-equiv="X-Content-Security-Policy" content="listedesrestrictions" />

en PHP

Header("X-Content-Security-Policy: listedesrestrictions");

CSP est une très bonne initiative pour luter contre les attaques XSS, il est nativement implémenté dans la navigateur Firefox à partir de la version 3, c’est principalement conçu pour nous assurer une meilleure sécurité, tout de même il ne faut pas penser que c’est la fin des XSS! il y aura sans doute des méthodes pour le contourner CSP, sinon je trouve que c’est bien pensé de la part des équipes Mozilla, c’est du beau boulot!

Viva Firefox ;)