本文主要是介绍Cross-Origin Read Blocking (CORB),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Cross-Origin Read Blocking (CORB) 是一种安全机制,用于保护Web应用免受跨域读取攻击。
跨域读取攻击可能会导致网站上的敏感信息被恶意代码访问和读取。这种攻击方式通常利用浏览器对不同源的资源访问的限制进行绕过。
CORB通过在浏览器中引入一种新的安全检测机制来解决这个问题。当浏览器尝试读取跨域资源(如图片、样式表、脚本等)时,CORB将检测是否存在安全问题。如果存在潜在的安全问题,CORB将阻止浏览器读取该资源,并返回一个空的响应,以保护网站的敏感信息。
CORB的工作原理
当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。这是一种安全机制,用于阻止跨域读取攻击,旨在保护Web应用程序免受恶意网站的攻击。通过阻止恶意网站读取其他域名下的敏感数据,CORB可以有效保护用户的隐私和安全。
CORB 可以缓解哪些攻击?
-
Cross-Site Script Inclusion (XSSI)
<script>
XSSI 是一种将标签指向非 JavaScript 目标资源的技术,并在将结果资源解释为 JavaScript 时观察一些副作用。这种攻击的一个早期例子是在 2006 年发现的:通过覆盖 JavaScript 数组构造函数,JSON 列表的内容可以被简单地拦截<script src="https://example.com/secret.json">
:虽然数组构造函数攻击向量在当前浏览器中已得到修复,但在接下来的十年中发现并修复了许多类似的漏洞。- CORB 可防止此类攻击,因为受 CORB 保护的资源将被阻止传递到跨站点
<script>
元素。 - 在缺乏其他 XSSI 防御(例如XSRF 令牌和/或JSON 安全前缀)的情况下,CORB 特别有价值。此外,XSSI 防御(例如JSON 安全前缀)的存在也可以用作 CORB 算法的信号,表明资源应该受到 CORB 保护。
-
Speculative Side Channel Attack (例如: Spectre).
- 例如,攻击者可能使用一个
<img src="https://example.com/secret.json">
元素将跨站点秘密拉入攻击者的 JavaScript 运行的进程中,然后使用推测性侧通道攻击(例如Spectre)来读取秘密。 - 当与站点隔离一起使用时,CORB 可以通过防止 JSON 资源出现在托管跨站点页面的进程的内存中来防止此类攻击。
- 例如,攻击者可能使用一个
CORB 如何“阻止”响应?
当浏览器接收到跨域请求并收到响应时,CORB会检查响应的内容类型(MIME类型)。如果响应的内容类型被视为可能包含敏感信息(例如,MIME类型为"text/html"且响应中可能包含JavaScript脚本),浏览器会自动阻止该响应的读取,避免恶意网站利用跨站脚本攻击(XSS)来读取其他网站的数据。
这一阻止过程是在浏览器内部进行的,用户通常无法直接感知。浏览器通过解析响应头中的Content-Type字段来确定MIME类型,并根据其安全策略来决定是否允许网页读取该响应。如果MIME类型不符合安全标准,浏览器就会拦截该响应,防止恶意脚本的执行和数据泄露。
此外,CORB还通过引入新的响应头来增强安全性。例如,通过设置Content-Type为"application/octet-stream",浏览器会将该响应视为二进制数据而不是HTML文档,从而进一步阻止对敏感信息的读取。
哪些类型的内容受 CORB 保护?
-
非文本格式:如图像(JPEG、PNG 等)、音频、视频和其他二进制格式。虽然这些格式本身通常不是跨站读取攻击的目标,但CORB 的机制可能也会覆盖它们,以防止任何潜在的滥用。
-
不常见的文本格式:这些可能包括某些特定的 MIME 类型,它们不是通常用于网页显示的文本类型(例如,非标准的文本编码或旧的、较少使用的格式)。
-
JavaScript 代码:虽然 JavaScript 通常用于网页交互,但恶意网站可能会尝试利用跨域请求来读取其他网站上的 JavaScript 代码,以获取敏感信息或执行其他恶意操作。因此,JavaScript 响应也可能受到 CORB 的保护。
-
不安全的或未知的内容类型:浏览器可能无法识别或处理某些内容类型,或者这些类型可能具有潜在的安全风险。在这种情况下,CORB 可能会采取预防措施,阻止网页读取这些响应
CORB 的具体实现和受保护的内容类型可能因浏览器而异,并且可能随着浏览器版本的更新而发生变化。为了确保Web应用程序的安全性和兼容性,应该了解并遵循最新的浏览器安全最佳实践,并避免依赖可能受到CORB或其他安全机制影响的行为。
总结
CORB(Cross-Origin Read Blocking)是一种安全机制,用于阻止跨域读取攻击,保护Web应用程序免受恶意网站的攻击。它由Google提出并实现。CORB的工作原理是,当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。
CORB的发生时机主要有两种情况:
- 当浏览器试图使用XMLHttpRequest或Fetch等API读取跨域资源时,如果跨域资源的MIME类型为text/html、application/xml或者是application/json等,同时该资源返回的响应头缺少Access-Control-Allow-Origin头或者不被允许跨域,浏览器就会阻止该跨域请求并报错;
- 如果当前页面通过iframe、script等标签引用了跨域资源,并且该资源的MIME类型为上述可能包含敏感信息的类型,同时响应头不满足跨域条件,浏览器同样会触发CORB机制阻止跨域资源的读取。
如需更详细的信息,可以参考 https://chromium.googlesource.com/chromium/src/+/refs/heads/main/services/network/cross_origin_read_blocking_explainer.md
这篇关于Cross-Origin Read Blocking (CORB)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!