深入解析CSP配置缺陷与XSS防御机制

1. 问题背景与现象描述

某Web应用已启用Content Security Policy（CSP）以防范跨站脚本攻击（XSS），其响应头配置如下：

Content-Security-Policy: script-src 'self';

尽管如此，该应用仍遭受基于内联脚本的XSS攻击。攻击者通过注入<script>alert('xss')</script>或事件处理器如onerror="javascript:..."成功执行恶意代码。

这表明当前CSP策略未能有效阻止内联脚本执行，存在明显安全缺陷。

2. CSP基础原理与执行模型

Content Security Policy是一种浏览器安全机制，通过HTTP响应头定义哪些资源可以被加载和执行。其核心指令包括：

• script-src：控制JavaScript脚本的来源
• style-src：控制CSS样式表来源
• img-src：控制图像资源来源
• connect-src：限制XMLHttpRequest、WebSocket等连接目标
• default-src：作为其他未明确指定指令的默认值

CSP在解析HTML时即开始生效，浏览器根据策略决定是否执行内联脚本、动态eval或外链资源。

3. 当前配置的缺陷分析

配置项	含义	允许的行为	安全隐患
script-src 'self'	仅允许同源脚本	外部.js文件、内联脚本、eval()	未禁止内联脚本和动态代码执行

关键问题在于：'self'仅限制脚本来源为同源，但并未显式禁止内联脚本（inline scripts）和eval()类函数。因此，以下三种攻击方式依然可行：

1. HTML注入：<script>maliciousCode()</script>
2. 事件处理器：<img src=x onerror=alert(1)>
3. JavaScript URL：<a href="javascript:stealCookies()">

4. 内联脚本为何未被阻止？

浏览器将“内联脚本”视为文档的一部分，而非外部资源。即使script-src 'self'限制了外部脚本来源，它并不自动禁用页面内的直接脚本块。只有当策略中显式引入白名单机制（如nonce或hash）或使用'unsafe-inline'的反向逻辑时，才会影响内联脚本的执行行为。

事实上，除非使用以下任一机制，否则无法安全地启用内联脚本：

• 随机nonce值（一次性的加密随机数）
• 脚本内容SHA-256/384/512哈希值
• strict-dynamic模式配合可信启动器

5. 正确配置CSP以防御内联XSS攻击

要真正防御包括内联脚本在内的XSS攻击，必须采用严格的CSP策略，并结合现代白名单机制。推荐配置如下：

Content-Security-Policy:
  default-src 'none';
  script-src 'self' 'nonce-{random}' 'strict-dynamic';
  object-src 'none';
  base-uri 'self';
  frame-ancestors 'none';
  require-trusted-types-for 'script';

其中关键点解释如下：

指令	作用
default-src 'none'	默认拒绝所有资源加载
script-src 'self'	允许同源JS文件
'nonce-{random}'	仅执行带有服务端生成的一次性令牌的脚本
'strict-dynamic'	信任由已验证脚本动态创建的子资源
object-src 'none'	禁止插件如Flash，防止绕过
base-uri 'self'	防止base标签劫持资源路径
frame-ancestors 'none'	防御点击劫持（Clickjacking）
require-trusted-types-for 'script'	强制使用Trusted Types API防止DOM-based XSS

6. 缺失的关键机制：Nonce与Hash详解

若未使用nonce或hash机制，则任何内联脚本都将被无差别放行或阻断。具体说明如下：

Nonce机制

服务器每次响应生成唯一的Base64编码随机数，如nonce-abc123xyz，并将其同时写入CSP头和<script nonce="abc123xyz">标签中。只有匹配的脚本才会被执行。

Hash机制

对内联脚本内容计算SHA-256哈希值，例如'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='，并将该值加入script-src白名单。适用于静态内联脚本。

示例：

Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3eF==' 'strict-dynamic';

对应HTML：

<script nonce="EDNnf03nceIOfn39fn3eF==">
  console.log("This is allowed");
</script>

7. 部署建议与最佳实践流程图

graph TD A[启用CSP] --> B{是否需要内联脚本?} B -- 否 --> C[设置 script-src 'self'; 并禁用内联] B -- 是 --> D[使用Nonce机制] D --> E[服务端生成唯一nonce] E --> F[注入到CSP头与script标签] F --> G[每次请求更新nonce] G --> H[部署报告机制 report-to/report-uri] H --> I[监控违规事件] I --> J[持续优化策略]

8. 常见误配置与风险对比

以下是常见错误配置及其后果：

错误配置	实际效果	攻击面
script-src 'self'	允许所有内联脚本	XSS高危
script-src 'unsafe-inline'	显式开启内联执行	完全失效
缺少object-src	可加载恶意插件	绕过CSP
未设frame-ancestors	易受点击劫持	UI伪装攻击
忽略report-uri	无法发现违规	隐蔽攻击持续

9. 监控与反馈机制的重要性

即使部署了严格CSP，也应启用报告功能以便捕获潜在违规。可通过以下方式实现：

Content-Security-Policy: ...; report-to /csp-report-endpoint;
Report-To: {"group":"csp-endpoint","max_age":10800,"endpoints":[{"url":"/csp-report"}]}

浏览器会在违反策略时发送JSON格式的报告，包含违规指令、阻断资源URL、用户代理等信息，帮助开发者及时调整策略。

10. 总结性思考：从被动防御到主动免疫

现代Web安全已不再依赖单一防护层。CSP作为纵深防御的重要组成部分，必须结合输入验证、输出编码、HTTPS传输、Subresource Integrity（SRI）以及新兴的Trusted Types技术，构建多维度防护体系。

尤其对于拥有5年以上经验的IT从业者而言，理解CSP不仅仅是配置几个HTTP头，而是掌握如何在复杂业务场景下平衡安全性与功能性，设计出既坚固又可持续演进的安全架构。