Content Security Policy: Ngăn Chặn Session Hijacking & Injection

Bạn đã bao giờ lo lắng về việc mã độc (malicious code) bị chèn vào website, dẫn đến mất an toàn cho người dùng và nguy cơ mất dữ liệu? Đó là lúc Content Security Policy (CSP) trở thành một “bộ khiên” vô cùng hữu ích. CSP giúp bạn kiểm soát những nguồn tài nguyên (đặc biệt là mã JavaScript) được phép tải và thực thi trên website của mình. Nhờ vậy, bạn có thể giảm thiểu rủi ro bị tấn công kiểu Session hijacking hay chèn mã độc (injection).

#1. Content Security Policy là gì?

CSP là một cơ chế bảo mật cho phép chủ website quy định danh sách các nguồn nội dung (chẳng hạn như script, style, hình ảnh) được phép tải. Thông qua việc thiết lập HTTP header hoặc meta tag có tên là Content-Security-Policy, bạn có thể chỉ định rõ ràng rằng trình duyệt được phép tải script từ đâu, vô hiệu hóa các tập lệnh (script) không đáng tin cậy.

#1.1. Tại sao CSP quan trọng?

  • Ngăn chặn tấn công XSS (Cross-Site Scripting): Một trong những dạng tấn công phổ biến nhất là chèn mã độc hại vào website. CSP hạn chế việc thực thi các script lạ, bảo vệ người dùng.
  • Kiểm soát nguồn nội dung: Bạn có thể quy định chỉ cho phép mã JavaScript được tải từ chính domain của bạn (self) hoặc từ những domain đáng tin cậy.
  • Giảm thiểu rủi ro Session hijacking: Bằng cách ngăn mã không rõ nguồn gốc, bạn hạn chế khả năng hacker đánh cắp session và giả mạo người dùng hợp pháp.
  • Hạn chế injection: Ngăn code độc hại dưới nhiều hình thức (SQL, JavaScript, …) chèn vào ứng dụng.

#2. Cách sử dụng Content Security Policy

#2.1. Thêm CSP header

Bạn có thể thêm CSP vào website bằng cách bổ sung HTTP header sau trên máy chủ (server):

1
Content-Security-Policy: script-src 'self'
  • script-src 'self': chỉ cho phép tải script từ cùng domain (chẳng hạn mywebsite.com).
  • Với thiết lập này, mọi script nội tuyến (inline script) sẽ bị chặn nếu không có thêm từ khóa hoặc cài đặt phù hợp.

Ví dụ minh họa:

1
2
3
4
5
6
7
8
9
10
11
<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Security-Policy" content="script-src 'self'">
</head>
<body>
    <h1>Nội dung trang</h1>
    <!-- Giả sử main.js nằm cùng domain -->
    <script src="/js/main.js"></script>
</body>
</html>
  • Khi chạy trang này, script tại file /js/main.js (nằm cùng domain) sẽ được tải và thực thi bình thường.
  • Nếu bạn thử đặt script nội tuyến hoặc tải script từ domain khác, CSP sẽ chặn và báo lỗi.

#2.2. Sử dụng nonce

Để cho phép một đoạn mã nội tuyến an toàn, bạn có thể dùng nonce:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<!DOCTYPE html>
<html>
<head>
    <!-- script-src 'self' và nonce -->
    <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'nonce-ABC123'">
</head>
<body>
    <h1>Nội dung trang</h1>
    <!-- Đoạn script nội tuyến có nonce khớp với CSP -->
    <script nonce="ABC123">
        console.log("Script nội bộ được phép chạy với nonce.");
    </script>
</body>
</html>
  • Khi chạy trang này, bạn sẽ thấy thông báo trong console (trình duyệt) là “Script nội bộ được phép chạy với nonce.”không gặp lỗi CSP.
  • Nếu bỏ nonce="ABC123" hoặc đặt nonce sai, trình duyệt sẽ từ chối thực thi đoạn script nội tuyến.

#2.3. Tải script từ nguồn bên ngoài uy tín (ví dụ CDN jQuery)

Trong nhiều trường hợp, bạn cần tải thư viện JavaScript từ CDN. Lúc này, bạn phải cập nhật chính sách CSP để cho phép tải script từ domain của CDN đó. Ví dụ:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<!DOCTYPE html>
<html>
<head>
    <!-- Cho phép script từ chính domain ('self') và từ cdnjs.cloudflare.com -->
    <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'nonce-ABC123' https://cdnjs.cloudflare.com">
</head>
<body>
    <h1>Trang sử dụng jQuery từ CDN</h1>
    <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.6.0/jquery.min.js"></script>
    <script nonce="ABC123">
        $(document).ready(function() {
            alert("jQuery từ CDN đã được tải thành công!");
        });
    </script>
</body>
</html>
  • Kết quả: Khi bạn mở trang, nếu CSP được thiết lập đúng cách, jQuery sẽ được tải từ cdnjs.cloudflare.com và trang sẽ hiển thị một thông báo “jQuery từ CDN đã được tải thành công!”.

#Lưu ý quan trọng:

Bạn nên tin tưởng vào những CDN uy tín, chẳng hạn cdnjs.cloudflare.com, cdn.jsdelivr.net, hoặc những nhà cung cấp được cộng đồng sử dụng phổ biến. Đồng thời, hãy đảm bảo không vô tình mở rộng script-src quá “rộng” (ví dụ * hoặc http://*) làm giảm hiệu quả bảo mật.

#2.4. Sử dụng hashed script

Ngoài nonce, bạn có thể dùng băm nội dung (hashed script) để chỉ cho phép đúng đoạn mã nội tuyến đã khai báo. Ví dụ:

1
Content-Security-Policy: script-src 'self' 'sha256-<hash_của_script>'

Bạn cần tính trước giá trị SHA-256 của đoạn script nội tuyến. Chỉ những script có mã băm (hash) khớp mới được thực thi.

#3. Các lỗi thường gặp và cách khắc phục

#3.1. Lỗi sai nonce

  • Triệu chứng: Bạn thêm nonce="ABC123" trong script, nhưng header CSP lại khai báo nonce="XYZ999". Trình duyệt chặn script.
  • Cách khắc phục: Đảm bảo nonce trong thẻ <script> trùng khớp với giá trị nonce trong CSP header hoặc meta tag. Nonce thường được sinh ngẫu nhiên trên server mỗi lần request.

#3.2. Vấn đề vòng lặp vô hạn

Thỉnh thoảng, lập trình viên viết mã tự động chèn thêm script hoặc reload trang liên tục, dẫn đến vòng lặp vô hạn (infinite loop):

  • Nguyên nhân: Có một đoạn code cố gắng nạp lại script từ nguồn không được phép, khi bị chặn thì lại thử nạp lại vô hạn.
  • Phòng tránh vòng lặp vô hạn: Kiểm tra logic, hạn chế việc reload trang vô tội vạ hoặc tự chèn script động mà không kiểm soát. Đặc biệt khi dùng CSP, chỉ chèn script từ nguồn tin cậy.

#3.3. Phạm vi biến trong Execution Context

  • Lỗi phổ biến: Dùng biến toàn cục hoặc khai báo thiếu var, let, const khiến các script “giẫm đạp” lẫn nhau, nhất là khi bị thay đổi do script ngoài ý muốn.
  • Liên quan đến CSP: CSP giúp chặn hoặc hạn chế script lạ, nhưng nó không thể thay thế hoàn toàn cho việc tổ chức code tốt. Nếu bạn để quá nhiều biến trong phạm vi toàn cục, một script (được phép hoặc vô tình lọt qua) cũng có thể ghi đè biến, gây lỗi hoặc lỗ hổng bảo mật.
  • Cách khắc phục:
    • Gói gọn biến trong function, module hoặc dùng cú pháp khai báo chuẩn (let, const).
    • Hạn chế biến toàn cục, tránh tình trạng “đụng độ” biến do các script khác nhau.
    • Kết hợp CSP với code “sạch” giúp tăng cường bảo mật từ hai phía:
      1. CSP: Ngăn script độc hại từ bên ngoài.
      2. Phạm vi biến: Giữ cho luồng thực thi bên trong ứng dụng gọn gàng, giảm nguy cơ bị ghi đè biến.

#4. Tối ưu mã trong dự án thực tế

#4.1. Tích hợp CSP trong các framework phổ biến

Nhiều framework Node.js, PHP, Python… cho phép bạn thêm header CSP một cách dễ dàng:

  • Với Express.js (Node.js), dùng helmet:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    const helmet = require("helmet");
    app.use(helmet.contentSecurityPolicy({
      directives: {
        defaultSrc: ["'self'"],
        // Thêm domain được phép để tải thư viện CDN
        scriptSrc: ["'self'", "https://cdnjs.cloudflare.com"]
        // ...
      }
    }));
  • Với PHP, bạn có thể dùng:
    1
    header("Content-Security-Policy: script-src 'self' https://cdnjs.cloudflare.com");
    Tương tự, các framework khác cũng có những plugin/hàm hỗ trợ cài đặt CSP.

#4.2. Phòng tránh vòng lặp vô hạn

Như đã nhắc ở mục 3.2. Phòng tránh vòng lặp vô hạn, bạn nên:

  • Kiểm soát các điều kiện khi chèn script động.
  • Kiểm tra header phản hồi để xác định script được phép nạp lại hay không.
  • Giới hạn số lần gọi lại (retry) nếu bạn thực sự cần nạp script từ nguồn bên ngoài.

#Lưu ý quan trọng:

  • Chỉ thêm nonce hoặc hash khi thực sự cần script nội tuyến. Nếu được, bạn nên sử dụng file .js riêng để dễ quản lý và tránh phải thêm nonce/hash thủ công.

#5. Kết luận

Content Security Policy (CSP) là một giải pháp bảo mật hiệu quả, cho phép bạn kiểm soát nguồn gốc tải script và các tài nguyên khác, hạn chế nguy cơ xâm nhập từ những đoạn mã không mong muốn. Để đạt được hiệu quả cao nhất, bạn nên kết hợp cấu hình CSP chặt chẽ với việc quản lý code rõ ràng, chú trọng phạm vi biến (Execution Context), và thường xuyên cập nhật cũng như kiểm tra hệ thống. Qua đó, bạn sẽ xây dựng được một nền tảng web đáng tin cậy, giảm thiểu tối đa các rủi ro có thể xảy ra.

#Bài tập tự kiểm tra:

  1. Tạo một trang HTML có thiết lập Content-Security-Policy: script-src 'self'. Thử chèn một script từ domain ngoài, xem có bị chặn không?
  2. Thử dùng nonce cho một đoạn script nội tuyến. Thay đổi nonce cố ý để sai, kiểm tra xem trình duyệt có chặn script không?
  3. Thêm domain uy tín (chẳng hạn https://cdnjs.cloudflare.com) vào CSP để tải jQuery. Hãy thử xem có hoạt động ổn không?


Tags

Related posts