CSP旁路：一个Chrome XSS错误花了2.5年，并且HTML规范更改以修复

Chromium团队修补了2.5岁的错误，即使他们已被配置为防止XSS攻击，也可以逐步逐步逐步跨站点脚本（XSS）攻击。

Microsoft浏览器安全研究员Jun Kokatsu发现，该错误允许Crafty攻击者绕过内容安全策略（CSP），一个限制在网页上加载和运行的外部资源的HTTP标题。

在概念上，Kokatsu显示，如果Web应用程序使用攻击者控制的数据创建Blob URL，则它可能导致XSS攻击 - 即使站点受到严格的CSP策略保护。 Blob是可以读取为文本或流的原始数据。

由于IFRAMES（嵌入式HTML页面）从父页面继承标题和策略，攻击者可以利用错误来绕过CSP规则并在页面上执行恶意代码。

例如，由于从攻击者传递的BLOB对象创建Blob URL，最近发生了Chat.mozilla.org中的XSS漏洞。

“即使他们拥有CSP，这个XS也可能仍然可以利用，”Kokatsu在书面评论中告诉日常SWIG。

Kokatsu还表示，该攻击可以在其他URL方案上暂存，包括数据：和JavaScript：URL。

Kokatsu于2018年12月发现了该错误。最初被驳回为非问题，但铬队以后承认其严重程度并在铬规范中实施了新的集装箱安全政策。

“没有很多人意识到跨起源页面可以导航他们打开的iframes或Windows，”Kokatsu说。 “这种理解需要了解攻击，以及CSP规范中的政策继承问题的问题空间。”

尽管如此，由于其复杂性，需要两年多的时间来解决错误。 “CSP需要将策略继承到本地方案，因为这些方案（例如，关于：，blob :,数据：，javascript :)没有响应标题，”Kokatsu说。

虽然某些方案相对容易解决，但Blob URL尤为困难地修补，因为它很难跟踪哪些文档创建了URL。

“因此，他们必须在HTML的规范中进行新的概念来跟踪这些信息，”Kokatsu说。

新的HTML规范策略容器，对跨HTML文档及其嵌入式组件继承的策略提供了更多的粒度控制。它目前仅适用于CSP和Referrer政策。 Kokatsu表示需要适用于其他政策。

使用iframes已充满安全问题。 “能够链接其他页面或框架其他页面是Web的好处之一。然而，它确实向生态系统提供了从浏览器安全性和Web安全性的复杂性，“Kokatsu说。

浏览器供应商不断尝试开发新的规范和工具来减轻嵌入式帧的攻击。 其中一些规范包括X-Frame-Options，iframe sandbox和权限策略。 “虽然威胁到来自iframes的威胁将继续，我希望随着时间的推移，我们可以减轻许多攻击，然后移动到更安全的网站，”Kokatsu说。 “作为攻击进步，重要的是要了解工作的工作，以及我们需要更具体的缓解，然后在这些景点上申请更多的防守。”