Halaman ini diterjemahkan oleh Cloud Translation API.

Mencegah kerentanan pembuatan skrip lintas situs berbasis DOM dengan Jenis Tepercaya

Krzysztof Kotowicz

Dukungan Browser

Pembuatan skrip lintas situs berbasis DOM (DOM XSS) terjadi saat data dari sumber yang dikontrol pengguna (seperti nama pengguna, atau URL alihan yang diambil dari fragmen URL) mencapai sink, yang merupakan fungsi seperti eval() atau penyetel properti seperti .innerHTML yang dapat mengeksekusi kode JavaScript arbitrer.

DOM XSS adalah salah satu kerentanan keamanan web paling umum, dan merupakan hal umum bagi tim developer untuk tidak sengaja memperkenalkannya di aplikasi mereka. Jenis Tepercaya memberi Anda alat untuk menulis, meninjau keamanan, dan menjaga aplikasi bebas dari kerentanan DOM XSS dengan secara default mengamankan fungsi API web yang berbahaya. Jenis Tepercaya tersedia sebagai polyfill untuk browser yang belum mendukungnya.

Latar belakang

Selama bertahun-tahun, DOM XSS telah menjadi salah satu kerentanan keamanan web yang paling umum dan berbahaya.

Ada dua jenis pembuatan skrip lintas situs. Beberapa kerentanan XSS disebabkan oleh kode sisi server yang membuat kode HTML yang membentuk situs secara tidak aman. Sebagian lagi memiliki akar masalah pada klien, dengan kode JavaScript memanggil fungsi berbahaya dengan konten yang dikontrol pengguna.

Untuk mencegah XSS sisi server, jangan buat HTML dengan menyambungkan string. Sebagai gantinya, gunakan library template otomatis kontekstual yang aman, beserta Kebijakan Keamanan Konten berbasis nonce untuk mitigasi bug tambahan.

Kini browser juga dapat membantu mencegah XSS berbasis DOM sisi klien dengan menggunakan Jenis Tepercaya.

Pengantar API

Jenis Tepercaya berfungsi dengan mengunci fungsi sink berisiko berikut. Anda mungkin sudah mengenali beberapa di antaranya, karena vendor browser dan framework web telah menghalangi Anda untuk menggunakan fitur ini karena alasan keamanan.

Manipulasi skrip:
<script src> dan menyetel konten teks elemen <script>.
Menghasilkan HTML dari string:
Mengeksekusi konten plugin:
Kompilasi kode JavaScript runtime:
- eval
- setTimeout
- setInterval
- new Function()

Jenis Tepercaya mengharuskan Anda memproses data sebelum meneruskannya ke fungsi sink ini. Penggunaan string saja akan gagal karena browser tidak mengetahui apakah data tersebut dapat dipercaya:

Larangan

anElement.innerHTML  = location.href;

Jika Jenis Tepercaya diaktifkan, browser akan menampilkan TypeError dan mencegah penggunaan sink DOM XSS dengan string.

Untuk menunjukkan bahwa data telah diproses dengan aman, buat objek khusus - Jenis Tepercaya.

Anjuran

anElement.innerHTML = aTrustedHTML;

Dengan mengaktifkan Jenis Tepercaya, browser menerima objek TrustedHTML untuk sink yang mengharapkan cuplikan HTML. Ada juga objek TrustedScript dan TrustedScriptURL untuk sink sensitif lainnya.

Jenis Tepercaya mengurangi permukaan serangan DOM XSS aplikasi Anda secara signifikan. Library ini menyederhanakan peninjauan keamanan, dan memungkinkan Anda menerapkan pemeriksaan keamanan berbasis jenis yang dilakukan saat mengompilasi, melakukan analisis lint, atau memaketkan kode saat runtime, di browser.

Cara menggunakan Jenis Tepercaya

Persiapan untuk laporan pelanggaran Kebijakan Keamanan Konten

Anda dapat men-deploy pengumpul laporan, seperti go-csp-collector open source, atau menggunakan salah satu jenis komersial yang setara. Anda juga dapat men-debug pelanggaran di browser:

document.addEventListener('securitypolicyviolation',
    console.error.bind(console));

Menambahkan header CSP khusus laporan

Tambahkan header Respons HTTP berikut ke dokumen yang ingin Anda migrasikan ke Jenis Tepercaya:

Content-Security-Policy-Report-Only: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

Kini semua pelanggaran dilaporkan ke //my-csp-endpoint.example, tetapi situs tetap berfungsi. Bagian berikutnya menjelaskan cara kerja //my-csp-endpoint.example.

Mengidentifikasi pelanggaran Jenis Tepercaya

Mulai sekarang, setiap kali Jenis Tepercaya mendeteksi pelanggaran, browser akan mengirimkan laporan ke report-uri yang dikonfigurasi. Misalnya, saat aplikasi Anda meneruskan string ke innerHTML, browser akan mengirim laporan berikut:

{
"csp-report": {
    "document-uri": "https://my.url.example",
    "violated-directive": "require-trusted-types-for",
    "disposition": "report",
    "blocked-uri": "trusted-types-sink",
    "line-number": 39,
    "column-number": 12,
    "source-file": "https://my.url.example/script.js",
    "status-code": 0,
    "script-sample": "Element innerHTML <img src=x"
}
}

Ini menyatakan bahwa pada https://my.url.example/script.js di baris 39, innerHTML dipanggil dengan string yang dimulai dengan <img src=x. Informasi ini akan membantu Anda mempersempit bagian kode mana yang mungkin memperkenalkan DOM XSS dan perlu diubah.

Perbaiki pelanggaran

Ada beberapa opsi untuk memperbaiki pelanggaran Jenis Tepercaya. Anda dapat menghapus kode yang melanggar, menggunakan library, membuat kebijakan Jenis Tepercaya, atau membuat kebijakan default sebagai urutan terakhir.

Menulis ulang kode yang melanggar

Mungkin saja kode yang tidak sesuai tidak diperlukan lagi, atau dapat ditulis ulang tanpa fungsi yang menyebabkan pelanggaran:

Anjuran

el.textContent = '';
const img = document.createElement('img');
img.src = 'xyz.jpg';
el.appendChild(img);

Larangan

el.innerHTML = '';

Menggunakan library

Beberapa library sudah menghasilkan Jenis Tepercaya yang dapat Anda teruskan ke fungsi sink. Misalnya, Anda dapat menggunakan DOMPurify untuk membersihkan cuplikan HTML, sehingga menghapus payload XSS.

import DOMPurify from 'dompurify';
el.innerHTML = DOMPurify.sanitize(html, {RETURN_TRUSTED_TYPE: true});

DOMPurify mendukung Jenis Tepercaya dan menampilkan HTML bersih yang digabungkan dalam objek TrustedHTML sehingga browser tidak menghasilkan pelanggaran.

Membuat kebijakan Jenis Tepercaya

Terkadang Anda tidak dapat menghapus kode yang menyebabkan pelanggaran, dan tidak ada library untuk membersihkan nilai dan membuat Jenis Tepercaya untuk Anda. Dalam hal ini, Anda dapat membuat objek Jenis Tepercaya sendiri.

Pertama, buat kebijakan. Kebijakan merupakan setelan pabrik untuk Jenis Tepercaya yang menerapkan aturan keamanan tertentu pada inputnya:

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  const escapeHTMLPolicy = trustedTypes.createPolicy('myEscapePolicy', {
    createHTML: string => string.replace(/\</g, '&lt;')
  });
}

Kode ini membuat kebijakan bernama myEscapePolicy yang dapat menghasilkan objek TrustedHTML menggunakan fungsi createHTML(). Karakter < aturan yang ditetapkan untuk HTML-escape untuk mencegah pembuatan elemen HTML baru.

Gunakan kebijakan seperti ini:

const escaped = escapeHTMLPolicy.createHTML('<img src=x onerror=alert(1)>');
console.log(escaped instanceof TrustedHTML);  // true
el.innerHTML = escaped;  // '&lt;img src=x onerror=alert(1)>'

Gunakan kebijakan default

Terkadang Anda tidak dapat mengubah kode yang melanggar, misalnya, jika Anda memuat library pihak ketiga dari CDN. Dalam hal ini, gunakan kebijakan default:

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  trustedTypes.createPolicy('default', {
    createHTML: (string, sink) => DOMPurify.sanitize(string, {RETURN_TRUSTED_TYPE: true})
  });
}

Kebijakan bernama default digunakan di mana pun string digunakan di sink yang hanya menerima Jenis Tepercaya.

Beralih ke penerapan Kebijakan Keamanan Konten

Jika aplikasi Anda tidak lagi menghasilkan pelanggaran, Anda dapat mulai menerapkan Jenis Tepercaya:

Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

Kini, tidak peduli seberapa rumit aplikasi web Anda, satu-satunya hal yang dapat memperkenalkan kerentanan DOM XSS adalah kode di salah satu kebijakan, dan Anda dapat menguncinya lebih jauh dengan membatasi pembuatan kebijakan.