Spring Security 与 HTTP 安全 header

2021-06-18 本文已影响0人 AlienPaul

前言

HTTP 安全header对于网站安全防护来说至关重要。借助安全header，我们可以降低网站遭受攻击的风险。

Spring Security作为Spring家族御用的安全框架，自然考虑到了这方面的需求。它为我们提供了大量预定义好的配置，可减小开发工作量。

下面章节介绍常用的安全header，和Spring Security中的配置方法。

Cache-Control

用于控制Request和Response的缓存机制。可以通过如下设置，禁用cache：

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0

通过Spring Security设置Cache-Control

禁用cache的方法如下：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().cacheControl();
    }
}

Content-Security-Policy

用于控制客户浏览器可加载哪些外部资源。相当于一个白名单，从而减少攻击者注入恶意脚本的可能性。

该 header的配置方法较为复杂，可参考：Content Security Policy 入门教程 - 阮一峰的网络日志 (ruanyifeng.com)

通过Spring Security设置Content-Security-Policy

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().contentSecurityPolicy("...");
    }
}

Referrer-Policy

主要是以下三种场景会发送Referer字段。

（1）用户点击网页上的链接。

（2）用户发送表单。

（3）网页加载静态资源，比如加载图片、脚本、样式。

可以使用rel属性，修改默认的referer行为。

<a href="..." rel="noreferrer" target="_blank">xxx</a>

rel属性只能定制单个元素的Referer行为，而且选择比较少，只能发送或不发送。W3C 为此制定了更强大的 Referrer Policy。

Referrer Policy 可以设定8个值。

（1）no-referrer

不发送Referer字段。

（2）no-referrer-when-downgrade

如果从 HTTPS 网址链接到 HTTP 网址，不发送Referer字段，其他情况发送（包括 HTTP 网址链接到 HTTPS 网址）。这是浏览器的默认行为。

（3）same-origin

链接到同源网址（协议+域名+端口都相同）时发送，否则不发送。注意，https://foo.com链接到http://foo.com也属于跨域。

（4）origin

Referer字段一律只发送源信息（协议+域名+端口），不管是否跨域。

（5）strict-origin

如果从 HTTPS 网址链接到 HTTP 网址，不发送Referer字段，其他情况只发送源信息。

（6）origin-when-cross-origin

同源时，发送完整的Referer字段，跨域时发送源信息。

（7）strict-origin-when-cross-origin

同源时，发送完整的Referer字段；跨域时，如果 HTTPS 网址链接到 HTTP 网址，不发送Referer字段，否则发送源信息。

（8）unsafe-url

Referer字段包含源信息、路径和查询字符串，不包含锚点、用户名和密码。

注：以上内容来源于
https://www.ruanyifeng.com/blog/2019/06/http-referer.html。侵删。

通过Spring Security设置Referrer-Policy

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().referrerPolicy().policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER);
    }
}

Strict-Transport-Security

网站通过这个请求头告诉浏览器，只能通过HTTPS访问该网站，而不是HTTP。

写法

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

含义

max-age=<expire-time>

设置在浏览器收到这个请求后的<expire-time>秒的时间内凡是访问这个域名下的请求都使用HTTPS请求。

includeSubDomains 可选

如果这个可选的参数被指定，那么说明此规则也适用于该网站的所有子域名。

preload 可选

查看预加载 HSTS 获得详情。不是标准的一部分。

参考链接：https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Security

通过Spring Security设置Strict-Transport-Security

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().httpStrictTransportSecurity()
                .maxAgeInSeconds(1000)
                .includeSubDomains(true)
                .preload(true);
    }
}

X-Content-Type-Options

用来确定Content-Type指定的MIME type可否被修改。有些资源的Content-Type是错的或者未定义，这时某些浏览器会启用MIME-sniffing来猜测该资源的类型，解析内容并执行，有安全风险。可以使用此header用来防止MIME type嗅探攻击。

禁用MIME type嗅探攻击的方法为：

X-Content-Type-Options: nosniff

通过Spring Security设置X-Content-Type-Options

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 设置X-Content-Type-Options: nosniff
        http.headers().contentTypeOptions();
    }
}

X-Frame-Options

X-Frame-Options用来告诉浏览器是否允许渲染<frame>，<iframe>，<embed>和<object>内的页面。主要用于防止clickjack攻击。

它有如下三个值：

DENY：禁止任何网页嵌入显示。
SAMEORIGIN：A页面嵌入了B页面，只有A和B的来源相同的时候，才会显示B页面。
ALLOW-FROM http://xxx.com/ 允许嵌入来源于http://xxx.com/的页面。仅在旧版浏览器生效，新浏览器已废弃，不要再使用该配置项。

参考链接：X-Frame-Options - HTTP | MDN (mozilla.org)

通过Spring Security设置X-Frame-Options

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 以下三选一
        // 不设置X-Frame-Options header
        http.headers().frameOptions().disable();
        // 设置X-Frame-Options: deny
        http.headers().frameOptions().deny();
        // 设置X-Frame-Options: SAMEORIGIN
        http.headers().frameOptions().sameOrigin();

        // 或者使用Customizer
        http.headers().frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin);
    }
}

X-XSS-Protection

这个header用于防御XSS攻击。当浏览器检测到疑似XSS攻击的时候，自动阻止页面加载。

该header的配置项如下：

0：禁用XSS保护
1：启用XSS保护
1; mode=block：启用XSS保护，并在检查到XSS攻击时，停止渲染页面（例如IE8中，检查到攻击时，整个页面会被一个#替换）
X-XSS-Protection: 1; report=<reporting-uri>: 仅在chromium中生效。浏览器如果探测到疑似XSS攻击，会向reporting-uri报告

通过Spring Security设置X-XSS-Protection

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        http.headers().xssProtection().xssProtectionEnabled(true).block(true);
    }
}

附录

Spring Security添加自定义header

对于常用的HTTP header，Spring Security已经有现成的方法可用。但是对于自定义的header，我们要如何处理呢？

Spring Security提供了addHeaderWriter方法，可用于添加任意的HeaderWriter：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        http.headers().addHeaderWriter(
                (httpServletRequest, httpServletResponse) -> httpServletResponse.setHeader("xxx", "xx")
        );
    }
}