CORP 使用 CSP 沙箱集阻止明显 Same-Origin 请求
CORP Blocking an Obviously Same-Origin Request with CSP sandbox Set
-
http
-
content-security-policy
-
cross-origin-embedder-policy
-
cross-origin-opener-policy
-
cross-origin-resource-policy
假设一个站点有两个文档:index.html 和 test.jpg,都位于根目录。 index.html 有以下内容。
<!DOCTYPE html>
<html lang=en>
<head>
<meta charset=utf-8>
<meta content="text/html; charset=utf-8" http-equiv=content-type>
<title>Test</title>
</head>
<body>
<p>Hello.</p>
<img src="/test.jpg">
</body>
</html>
如果在没有安全措施 header 的情况下提供服务,则效果很好。但是,index.html 上的这些 header:
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
和 test.jpg 上的 header:
Cross-Origin-Resource-Policy: same-origin
test.jpg 将不再由 Chrome 98 加载。它在控制台中报告 net::ERR_BLOCKED_BY_RESPONSE.NotSameOrigin 200。
将以下 header 添加到 index.html 将导致图像也被 Firefox 97 阻止:
Content-Security-Policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'
(我知道有很多指令,但我试图将它们分成重要的部分但无法弄清楚。)
这里发生了什么? https://example.com和https://example.com/test.jpg不是同源吗?明确导航到 https://example.com/index.html 也会阻止 test.jpg 的加载。我对 same-origin 的理解缺少什么?为什么 Chrome 和 Firefox 的处理方式不同?为什么添加 CSP 会导致 Firefox 开始阻止对 test.jpg 的请求?
如果我遗漏了什么,这里是每个请求的完整 header 集(来自 cURL):
> GET / HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:56:43 GMT
< server: Apache
< via: e3s
< last-modified: Wed, 16 Feb 2022 04:43:18 GMT
< content-length: 226
< x-content-type-options: nosniff
< referrer-policy: same-origin
< content-security-policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'
< cross-origin-embedder-policy: require-corp
< cross-origin-opener-policy: same-origin
< etag: "e2-5d81b49ddfad8"
< accept-ranges: bytes
< vary: Accept-Encoding
< content-type: text/html; charset=UTF-8
<
> GET /test.jpg HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:52:19 GMT
< server: Apache
< x-content-type-options: nosniff
< referrer-policy: same-origin
< cross-origin-resource-policy: same-origin
< last-modified: Wed, 16 Feb 2022 04:22:59 GMT
< etag: "18692-5d81b013bbe82"
< accept-ranges: bytes
< content-length: 99986
< cache-control: public, max-age=31557600, immutable
< age: 336
< via: e2s
< content-type: image/jpeg
<
我没有尝试重现,但从阅读本文可以看出,当您将文档沙箱化时,Firefox 开始阻止是有意义的,这意味着它具有不透明的来源,因此图像将出现 cross-origin。
至于 Chrome,沙箱是否也以某种方式在那里生效?
http
content-security-policy
cross-origin-embedder-policy
cross-origin-opener-policy
cross-origin-resource-policy
假设一个站点有两个文档:index.html 和 test.jpg,都位于根目录。 index.html 有以下内容。
<!DOCTYPE html>
<html lang=en>
<head>
<meta charset=utf-8>
<meta content="text/html; charset=utf-8" http-equiv=content-type>
<title>Test</title>
</head>
<body>
<p>Hello.</p>
<img src="/test.jpg">
</body>
</html>
如果在没有安全措施 header 的情况下提供服务,则效果很好。但是,index.html 上的这些 header:
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
和 test.jpg 上的 header:
Cross-Origin-Resource-Policy: same-origin
test.jpg 将不再由 Chrome 98 加载。它在控制台中报告 net::ERR_BLOCKED_BY_RESPONSE.NotSameOrigin 200。
将以下 header 添加到 index.html 将导致图像也被 Firefox 97 阻止:
Content-Security-Policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'
(我知道有很多指令,但我试图将它们分成重要的部分但无法弄清楚。)
这里发生了什么? https://example.com和https://example.com/test.jpg不是同源吗?明确导航到 https://example.com/index.html 也会阻止 test.jpg 的加载。我对 same-origin 的理解缺少什么?为什么 Chrome 和 Firefox 的处理方式不同?为什么添加 CSP 会导致 Firefox 开始阻止对 test.jpg 的请求?
如果我遗漏了什么,这里是每个请求的完整 header 集(来自 cURL):
> GET / HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:56:43 GMT
< server: Apache
< via: e3s
< last-modified: Wed, 16 Feb 2022 04:43:18 GMT
< content-length: 226
< x-content-type-options: nosniff
< referrer-policy: same-origin
< content-security-policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'
< cross-origin-embedder-policy: require-corp
< cross-origin-opener-policy: same-origin
< etag: "e2-5d81b49ddfad8"
< accept-ranges: bytes
< vary: Accept-Encoding
< content-type: text/html; charset=UTF-8
<
> GET /test.jpg HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:52:19 GMT
< server: Apache
< x-content-type-options: nosniff
< referrer-policy: same-origin
< cross-origin-resource-policy: same-origin
< last-modified: Wed, 16 Feb 2022 04:22:59 GMT
< etag: "18692-5d81b013bbe82"
< accept-ranges: bytes
< content-length: 99986
< cache-control: public, max-age=31557600, immutable
< age: 336
< via: e2s
< content-type: image/jpeg
<
我没有尝试重现,但从阅读本文可以看出,当您将文档沙箱化时,Firefox 开始阻止是有意义的,这意味着它具有不透明的来源,因此图像将出现 cross-origin。
至于 Chrome,沙箱是否也以某种方式在那里生效?