#vuecember2020 #security

Unsafe-inline, muss nicht sein

Wir sind uns alle einig, dass wir mit Hilfe von CSP Direktiven die Möglichkeit von XSS Attacken minimieren wollen. Deswegen setzen wir script-self: 'self' und sperren schon mal alle externen Script-Ressourcen aus, die wir nicht explizit greenlisten. Unsere App ist nun sicher! Yay!

Blöd ist nur, dass wir nun auch inline-Scripte ausgeschlossen haben und wir haben doch dieses komische Snippet aus dem Marketing erhalten, was wir natürlich inline einbinden müssen. Zum Glück kommt uns hier unsafe-inline zur Hilfe. Schließlich haben wir ja die volle Kontrolle darüber, was auf unsere Seite gerendert wird. Nicht.

Was tun wir also, um inline-Scripte zu erlauben und trotzdem die Kontrolle darüber zu behalten, welche Scripte ausgeführt werden und welche nicht?

Hier kommt uns nonce als Source zur Hilfe:

Content-Security-Policy: script-src 'nonce-1337==7rump5uck5'

Wir können auf dem Server eine Nonce („number used once“) generieren und diese dann genau ein mal im CSP-Header versenden und in die <script> Elemente rendern:

&lt;script nonce="1337==7rump5uck5"&gt;
  marketingSnippet()
&lt;/script&gt;

Eine weitere Möglichkeit eure inline-Scripte ausführbar zu halten, ist sie mit einem Hash-Algorithmus (sha256, sha384 oder sha512) zu codieren und so in der CSP Direktive script-src anzugeben:

Content-Security-Policy: 
   script-src '&lt;hash-algorithm&gt;-&lt;base64-value&gt;'

Dies funktioniert allerdings nur für statische Code-Blöcke und ist daher nicht für jeden Use-Case gut geeignet.

Habt ihr Lust das Thema zu diskutieren? Dann meldet euch gerne bei mir oder dem ganzen Team bei sum.cumo.

Autor:in Zum/Zur Autor:in
Hauke Ubl
Hauke
Ubl
#management #frontend Hauke ist seit Tag 1 bei sum.cumo mit dabei, leitet gemeinsam mit Sven Wagner die Frontend-Entwicklung und ist seit April 2019 Mitglied der Geschäftsleitung. Er kümmert sich insbesondere um das Coaching der Teammitglieder, deren Weiterentwicklung, Mitarbeiterallokation und übergeordnete organisatorische Themen. Vor seiner Zeit bei sum.cumo war Hauke bei Schaffhausen ITC Solutions und Basis Audionet tätig. Auch wenn sich seit der Gründung von sum.cumo natürlich sehr viel verändert hat, ist für Hauke „der Spirit der ersten Tage immer noch spürbar“ – und er tut vieles dafür, damit das auch so bleibt. Wenn Hauke nicht für und mit sum.cumo arbeitet, dann steht er bestimmt an einem seiner Grills – Hauke brennt für alles rund um BBQ. Mindestens genauso gerne hängt er einfach in seiner Nachbarschaft „auf dem Land“ ab oder kombiniert einfach seine beiden Leidenschaften. Alle Artikel von Hauke