# 网络安全针对生产 Web 应用程序的跨领域的面向浏览器的安全指南。这项技能加深了涵盖 API 设计、前端和后端的主题 — CSRF、XSS、CSP、cookie、会话、auth、JWT、OAuth 2.1、CORS、标头、SSRF、输入验证和供应链安全。基于 OWASP 备忘单 (2024)、Google BeyondCorp、Stripe 安全模式、Cloudflare 生产配置、Mozilla Web 安全指南、Auth0/Okta 最佳实践、OAuth 2.1 草案（截至 2025 年 1 月）和 OAuth 2.0 安全 BCP（RFC 9700，2025 年 1 月）。 > **范围边界：** 这项技能涵盖了_强制执行的内容_以及_为什么_执行。实施： > > * Rust/Axum 中间件和 Tower 层 → **Rust 技能** (`/rust` §9, §12) > * React 模式、`dangerouslySetInnerHTML`、`href` 验证 → **TypeScript 技能** (`/typescript` §11) > * API 合约决策（错误格式、状态代码、身份验证标头）→ **API 设计技巧** (`/api-design` §10-11) > ** ** ## 1\.威胁模型 ### 浏览器与 API 攻击面攻击|矢量|目标 ---|---|--- CSRF |使用环境 cookie 伪造跨域请求 | Cookie 验证的突变跨站脚本攻击 |在 HTML 上下文中注入脚本 |会话令牌、用户数据、DOM 点击劫持 |透明 iframe 覆盖 |框架页面上的用户操作 SSRF |服务器获取攻击者控制的 URL |内部服务、云元数据 CORS 配置错误 |过于宽松的原产地政策|跨域数据泄露会话固定|攻击者设置受害者的会话 ID |账户接管 JWT 困惑 |算法替代或索赔绕过 |身份验证绕过 ### OWASP API 安全性前 10 名 (2023) — 快速参考＃|风险|关键缓解措施 ---|---|--- API1 |对象级授权被破坏 |检查每个处理程序中的对象所有权 API2 |身份验证被破坏 |限制身份验证端点的速率，强制执行 MFA API3 |损坏的对象属性级授权 |按角色过滤响应字段 API4 |资源消耗不受限制 |速率限制、分页限制、有效负载大小上限 API5 |功能级授权被破坏 |每个路由上的 RBAC 中间件 API6 |不受限制地访问敏感业务流程|机器人检测、敏感操作验证码 API7 |服务器端请求伪造 |输入验证、私有 IP 拒绝列表、出口防火墙 API8 |安全配置错误|安全标头、禁用调试端点、最小权限 API9 |库存管理不当| API 版本控制、弃用策略、端点注册表 API10 | API 的不安全使用 |验证第三方响应、外部调用超时 > 请参阅 **API 设计技能** (`/api-design` §10) 了解合约级身份验证模式。 ** ** ## 2\.跨站请求伪造保护 ### 当 CSRF 很重要时 * **需要：** 基于 Cookie 的身份验证 + 状态更改操作（POST/PUT/DELETE） * **不需要：** 承载令牌身份验证（无环境凭据）、标头中的 API 密钥、机器对机器 ### 防御层（OWASP — 至少实施两个） 1. **签名双重提交cookie**（初级防御） * 生成绑定到会话 ID 的 HMAC 签名令牌 — `HMAC(session_id, Secret_key)` * 在请求标头（`X-CSRF-Token`）或表单字段中发送 cookie + require * 服务器验证 HMAC 签名与会话匹配 — 防止 cookie-tossing 攻击 * **永远不要使用未签名/天真的双重提交** - OWASP 明确阻止它（子域上的攻击者可以覆盖未签名的 cookie） 2. **获取元数据验证**（服务器端，98%浏览器覆盖率） * 拒绝状态改变端点上的“Sec-Fetch-Site：跨站点”请求 * 另请检查“Sec-Fetch-Mode”和“Sec-Fetch-Dest”以进行纵深防御 * 优雅降级：允许没有获取元数据标头的请求（旧版浏览器） 3. **自定义请求头**（基于CORS的防御） * 突变时需要自定义标头（例如“X-Requested-With”） * CORS 预检会阻止带有自定义标头的跨域请求，除非明确允许 * 简单但有效 - 跨域 `

` 和 `` 无法设置自定义标头 4. **SameSite cookie**（必要但单独使用还不够） * `SameSite=Lax` — Web 应用程序的正确默认值。阻止跨站点 POST，同时保留顶级 GET 导航（OAuth 回调、入站链接）。与 CSRF 令牌配对以获得全面保护 * `SameSite=Strict` — 阻止所有跨站点 cookie 发送。仅适用于没有 OAuth、没有外部重定向且没有入站身份验证链接的应用程序。并不比 Lax + CSRF 代币“更安全”——只是更严格 * **单独不够：**子域攻击绕过SameSite，方法重写可以转换GET→POST 5. **来源/Referer验证**（二次检查） * 验证“Origin”标头与突变的预期域匹配 * 如果“Origin”不存在，则回退到“Referer” * 二级防御——不要仅仅依赖于此（隐私扩展剥离标头） ### 关键规则 **XSS 破坏了所有 CSRF 保护。** 如果攻击者可以在您的源上执行 JavaScript，他们就可以从 DOM 或 cookie 读取 CSRF 令牌。首先修复 XSS。 ### OAuth 流程中的 CSRF 条纹模式：使用“state”参数作为 CSRF 令牌 - 绑定到用户的会话，在回调时进行验证。一次性使用，5分钟后失效。 ** ** ## 3\. XSS预防 ### 上下文特定的输出编码（OWASP 5 规则）背景 |编码 |示例 ---|---|--- HTML 正文 | HTML 实体编码 `& < > " '` | `

Hello

网络安全

包含技能