Как ввести случайный одноразовый номер CSP в APACHE?

Question

Как ввести случайный одноразовый номер CSP в APACHE?

Я хочу добавить следующую директиву CSP в APACHE, потому что я хочу, чтобы она применялась на каждой странице.

<IfModule mod_headers.c>
    <FilesMatch "\.(htm|html|php)$">
        Content-Security-Policy: script-src 'strict-dynamic' 'nonce-{random}' 'unsafe-inline' ' https:;
    </FilesMatch>
</IfModule>

Я хотел бы также генерировать значение {random} непосредственно в APACHE (если это возможно).

Можно ли сгенерировать и вставить его непосредственно в директиву APACHE CSP? Или это плохая идея, я должен генерировать и вставлять на уровне приложения вместо (PHP)?

ПРИМЕЧАНИЕ. Я обнаружил, что создание одноразового номера в Apache 2.4 (для заголовка политики безопасности контента) выглядит многообещающе, но я не уверен, является ли $_SERVER[UNIQUE_ID] действительно случайным значением.

1

security apache-2.4 content-security-policy

Источник

user3526609 16 июн '17 в 11:14

3 ответа

Другие вопросы по тегам security apache-2.4 content-security-policy

Julien 05 авг '17 в 23:14 2017-08-05 23:14 · Answer 1 · 2017-08-05 23:14

Одноразовый номер, который вы указали в заголовке CSP, должен совпадать с тегом сценария. Вот почему он обычно устанавливается на уровне приложения, где значение сохранения может использоваться в заголовке HTTP и в вашем HTML. Если вы установите его на уровне Apache, как вы будете использовать его в своем приложении?

John T. 21 июл '21 в 14:46 2021-07-21 14:46 · Answer 2 · 2021-07-21 14:46

@user3526609 заслуживает похвалы за это замечательное решение, но я хотел подвести итог, чтобы было понятно всем другим, вроде меня, которые повсюду искали это и нашли его в комментариях.

Короче говоря, вот как создать одноразовый номер CSP в.htaccessфайл, а не в веб-приложении, но при этом иметь возможность использовать его в веб-приложении.

Вы можете «сгенерировать» nonce с помощью Apache, повторно используя уникальный идентификатор, который он создает для каждого запроса. Создайте заголовок Content Security Policy следующим образом (многие другие важные биты исключены для краткости):

      Header always set Content-Security-Policy "\
  default-src 'self'; \
  script-src 'self' 'nonce-%{UNIQUE_ID}e';"

Обратите внимание, что обратная косая черта разбивает команду на хорошо читаемые строки, которые Apache позже удалит.

Это создает что-то вроде следующего:

'nonce-STRINGofRANDOMcharacters'

И PHP может получить к нему доступ следующим образом:

$_SERVER['UNIQUE_ID']

Пример на веб-странице:

      <script 
  src="https://www.google.com/recaptcha/api.js?render=your-site-key"
  nonce="<?php echo $_SERVER['UNIQUE_ID']; ?>">
</script>

Davor 21 янв '23 в 10:56 2023-01-21 10:56 · Answer 3 · 2023-01-21 10:56

В Apache у вас должен быть включен модуль mod_unique_id. Он генерирует уникальную переменную среды (UNIQUE_ID). Однако в его кодировке присутствуют недопустимые символы для csp [A-Za-z0-9@-] вместо обычного base64 [A-Za-z0-9+/].

Для генерации правильных значений необходимо использовать кодировку Base64. Это работает только в том случае, если Apache > 2.4 и выше. Например:

      Header set X-Nonce "expr=%{base64:%{reqenv:UNIQUE_ID}}"

Или для создания полной политики CSP выполните:

Header set Content-Security-Policy "expr=default-src 'self'; script-src 'self' 'nonce-%{base64:%{reqenv:UNIQUE_ID}}'"