신뢰할 수 있는 유형으로 DOM 기반 교차 사이트 스크립팅 취약점 방지
애플리케이션의 DOM XSS 공격 표면을 줄입니다.
왜 신경을 써야 할까요? #
DOM 기반 교차 사이트 스크립팅(DOM XSS)은 가장 일반적인 웹 보안 취약점 중 하나이며 애플리케이션에 도입하기가 매우 쉽습니다. 신뢰할 수 있는 유형은 위험한 웹 API 기능을 기본적으로 보호함으로써 DOM XSS 취약점이 없는 애플리케이션을 작성, 보안 검토 및 유지 관리할 수 있는 도구를 제공합니다. 신뢰할 수 있는 유형은 Chrome 83에서 지원되며 polyfill은 기타 브라우저에서 사용할 수 있습니다. 최신 교차 브라우저 지원 정보는 브라우저 호환성 을 참조하세요.
배경 #
수년 동안 DOM XSS는 가장 일반적이고 위험한 웹 보안 취약점 중 하나였습니다.
교차 사이트 스크립팅에는 두 가지 뚜렷한 그룹이 있습니다. 일부 XSS 취약점은 웹사이트를 구성하는 HTML 코드를 안전하지 않게 생성하는 서버 측 코드로 인해 발생합니다. 이외에는 클라이언트에 근본 원인이 있어 JavaScript 코드가 사용자 제어 콘텐츠로 위험한 함수를 호출합니다.
서버 측 XSS를 방지하려면 문자열을 연결하여 HTML을 생성하는 것 대신 안전한 컨텍스트 자동 이스케이프 템플릿 라이브러리를 사용하세요. 불가피하게 발생하는 버그에 대한 추가 완화를 위해 임시 기반 콘텐츠 보안 정책을 사용합니다.
이제 브라우저는 신뢰할 수 있는 유형으로 클라이언트 측(DOM 기반이라고도 함) XSS를 방지하는 데도 도움이 됩니다.
API 소개 #
신뢰할 수 있는 유형은 다음과 같은 위험한 싱크 기능을 봉쇄하는 방식으로 작동합니다. 브라우저 공급업체와 웹 프레임워크가 이미 보안상의 이유로 이러한 기능을 사용하지 않도록 지시하기 때문에 일부는 이미 알고 있을 수 있습니다.
스크립트 조작:
<script src>및<script>요소의 텍스트 내용 설정.문자열에서 HTML 생성:
innerHTML,outerHTML,insertAdjacentHTML,<iframe> srcdoc,document.write,document.writeln및DOMParser.parseFromString플러그인 콘텐츠 실행:
<embed src>,<object data>및<object codebase>런타임 JavaScript 코드 컴파일:
eval,setTimeout,setInterval,new Function()
신뢰할 수 있는 유형을 사용하려면 위의 싱크 함수에 데이터를 전달하기 전에 데이터를 처리해야 합니다. 브라우저는 데이터가 신뢰할 수 있는지 알지 못하기 때문에 문자열을 사용하는 것만으로는 실패합니다.
금지
anElement.innerHTML = location.href;데이터가 안전하게 처리되었음을 나타내려면 신뢰할 수 있는 유형이라는 특수 개체를 만듭니다.
허용
anElement.innerHTML = aTrustedHTML;신뢰할 수 있는 유형은 애플리케이션의 DOM XSS 공격 표면을 크게 줄입니다. 보안 검토를 단순화하고 브라우저에서 런타임 시 코드를 컴파일, 린트 또는 번들링 할 때 수행되는 유형 기반 보안 검사를 시행할 수 있습니다.
신뢰할 수 있는 유형을 사용하는 방법 #
콘텐츠 보안 정책 위반 보고서 준비 #
보고서 콜렉터(예: 오픈 소스 go-csp-collector)를 배포하거나 상용 제품 중 하나를 사용할 수 있습니다. 브라우저에서 위반을 디버그 할 수도 있습니다.
window.addEventListener('securitypolicyviolation',
console.error.bind(console));보고서 전용 CSP 헤더 추가 #
신뢰할 수 있는 유형으로 마이그레이션하려는 문서에 다음 HTTP 응답 헤더를 추가합니다.
Content-Security-Policy-Report-Only: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example이제 모든 위반 사항이 //my-csp-endpoint.example에 보고되지만 웹사이트는 계속 작동합니다. 다음 섹션에서 //my-csp-endpoint.example이 작동하는 방식을 설명합니다.
신뢰할 수 있는 유형 위반 식별 #
이제부터 신뢰할 수 있는 유형이 위반을 감지할 때마다 보고서가 구성된 report-uri로 전송됩니다. 예를 들어, 애플리케이션이 innerHTML 문자열을 전달하면 브라우저는 다음 보고서를 보냅니다.
{
"csp-report": {
"document-uri": "https://my.url.example",
"violated-directive": "require-trusted-types-for",
"disposition": "report",
"blocked-uri": "trusted-types-sink",
"line-number": 39,
"column-number": 12,
"source-file": "https://my.url.example/script.js",
"status-code": 0,
"script-sample": "Element innerHTML <img src=x"
}
}이것은 https://my.url.example/script.js에서 39번째 줄의 innerHTML이 <img src=x 시작하는 문자열로 호출되었음을 의미합니다. 이 정보는 DOM XSS를 도입하고 변경해야 하는 코드 부분을 좁히는 데 도움이 됩니다.
위반 사항 수정 #
신뢰할 수 있는 유형 위반을 수정하기 위한 몇 가지 옵션이 있습니다. 문제가 되는 코드를 제거하거나, 라이브러리를 사용하거나, 신뢰할 수 있는 유형 정책을 생성하거나, 최후의 수단으로 기본 정책을 생성할 수 있습니다.
문제가 되는 코드 다시 작성 #
혹시 호환되지 않는 기능은 더 이상 필요하지 않거나 오류가 발생하기 쉬운 기능을 사용하지 않고 최신 방식으로 다시 작성할 수 있을까요?
금지
el.innerHTML = '<img src=xyz.jpg>';허용
el.textContent = '';
const img = document.createElement('img');
img.src = 'xyz.jpg';
el.appendChild(img);라이브러리 사용 #
일부 라이브러리는 싱크 함수에 전달할 수 있는 신뢰할 수 있는 유형을 이미 생성합니다. 예를 들어 DOMPurify를 사용하여 HTML 스니펫을 삭제하고 XSS 페이로드를 제거할 수 있습니다.
import DOMPurify from 'dompurify';
el.innerHTML = DOMPurify.sanitize(html, {RETURN_TRUSTED_TYPE: true});DOMPurify는 신뢰할 수 있는 유형을 지원하며 브라우저가 위반을 생성하지 않도록 TrustedHTML 개체로 래핑된 정제된 HTML을 반환합니다.
신뢰할 수 있는 유형 정책 만들기 #
때때로 기능을 제거할 수 없고, 값을 삭제하고 신뢰할 수 있는 유형을 생성하는 라이브러리가 없습니다. 이러한 경우 신뢰할 수 있는 유형 개체를 직접 만드세요.
이를 위해 먼저 정책을 만듭니다. 정책은 입력에 특정 보안 규칙을 적용하는 신뢰할 수 있는 유형의 팩토리입니다.
if (window.trustedTypes && trustedTypes.createPolicy) { // 기능 테스트
const escapeHTMLPolicy = trustedTypes.createPolicy('myEscapePolicy', {
createHTML: string => string.replace(/\</g, '<')
});
}이 코드는 createHTML() 함수를 통해 TrustedHTML 개체를 생성할 수 있는 myEscapePolicy라는 정책을 만듭니다. 정의된 규칙은 새 HTML 요소의 생성을 방지하기 위해 <를 HTML escape 처리합니다.
다음과 같이 정책을 사용합니다.
const escaped = escapeHTMLPolicy.createHTML('<img src=x onerror=alert(1)>');
console.log(escaped instanceof TrustedHTML); // 참
el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'기본 정책 사용 #
때로는 문제가 되는 코드를 변경할 수 없습니다. 예를 들어 CDN에서 타사 라이브러리를 로드하는 경우입니다. 이 경우 기본 정책을 사용합니다.
if (window.trustedTypes && trustedTypes.createPolicy) { // 기능 테스트
trustedTypes.createPolicy('default', {
createHTML: (string, sink) => DOMPurify.sanitize(string, {RETURN_TRUSTED_TYPE: true})
});
}이름이 default인 정책은 신뢰할 수 있는 유형만 허용하는 싱크에서 문자열을 사용할 때마다 사용됩니다.
콘텐츠 보안 정책 시행으로 전환 #
애플리케이션이 더 이상 위반을 생성하지 않으면 신뢰할 수 있는 유형 적용을 시작할 수 있습니다.
Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example짜잔! 이제 웹 애플리케이션이 아무리 복잡하더라도 DOM XSS 취약점을 도입할 수 있는 유일한 것은 정책 중 하나의 코드입니다. 정책 생성을 제한하여 이를 더욱 봉쇄할 수 있습니다.