Avec le développement d'Internet, les applications Web sont devenues un élément indispensable de notre quotidien. Le développement d'applications Web implique généralement plusieurs aspects, tels que la conception, le développement, l'exploitation et la maintenance, la sécurité, etc. Parmi elles, la sécurité est très critique et les attaques CSRF sont l’une des vulnérabilités de sécurité les plus courantes dans les applications Web. Cet article se concentrera sur les pratiques de politique de sécurité de Nginx et présentera comment prévenir les attaques CSRF.
1. Qu'est-ce que l'attaque CSRF ?
L'attaque CSRF (Cross-site request forgery), également connue sous le nom d'attaque XSRF, est une méthode d'attaque qui utilise les vulnérabilités d'authentification des utilisateurs pour envoyer des requêtes malveillantes. Un attaquant peut amener un utilisateur à effectuer accidentellement une opération à son insu, entraînant le vol du compte de l'utilisateur ou d'autres pertes.
Plus précisément, les attaquants incitent généralement les utilisateurs à accéder et à déclencher des opérations malveillantes en créant des liens malveillants ou en insérant du code malveillant. Puisque l’identité de l’utilisateur a été authentifiée, l’attaquant peut faire croire à l’application qu’il s’agit d’une demande légitime.
2. Pratique de la politique de sécurité de Nginx
Étant donné que Nginx est un serveur Web et un serveur proxy inverse populaire dans l'industrie, avec des performances et une stabilité élevées, il doit également être protégé et renforcé en termes de sécurité des applications. Voici quelques pratiques courantes de politique de sécurité Nginx pour vous protéger contre les attaques CSRF.
1. Définir la politique de même origine
La politique de même origine est la pierre angulaire de la sécurité du navigateur. Il restreint l'accès aux données inter-domaines dans les applications Web. Lorsqu'un site charge des ressources à partir d'une source, l'environnement JavaScript du site ne peut accéder qu'aux données de cette source et non d'une autre source. Il s'agit d'un moyen de prévenir les attaques par script intersite (XSS) et les attaques CSRF.
La configuration suivante peut être utilisée dans Nginx pour activer la même politique d'origine :
add_header Content-Security-Policy "default-src 'self'";
Copier après la connexion
Cela ajoutera l'en-tête Content-Security-Policy à la réponse et limitera le chargement des ressources uniquement à partir du site actuel (même origine).
2. Activer Strict-Transport-Security (HSTS)
L'activation de Strict-Transport-Security (HSTS) est un moyen de forcer l'utilisation de connexions HTTPS. HSTS fonctionne en définissant un indicateur dans l'en-tête de réponse du serveur pour informer le client de toujours utiliser une connexion HTTPS lors de la demande du même site Web, au lieu d'essayer d'utiliser une connexion HTTP.
HSTS peut être activé dans Nginx en utilisant la configuration suivante :
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
Copier après la connexion
Cela ajoutera l'en-tête Strict-Transport-Security à la réponse et spécifiera la durée maximale (max-age) pour utiliser HSTS, y compris les sous-domaines (includeSubDomains) et activera Précharge HSTS.
3. Activer les indicateurs HTTPOnly et Secure
L'activation des indicateurs HTTPOnly et Secure est un moyen d'empêcher le vol de cookies. La balise HTTPOnly protège les données du cookie en empêchant l'accès à celles-ci via JavaScript. L'indicateur Secure garantit que les cookies ne sont envoyés au serveur que lors de l'utilisation d'une connexion HTTPS, empêchant ainsi la réception de cookies malveillants via des connexions HTTP non cryptées.
Les indicateurs HTTPOnly et Secure peuvent être activés dans Nginx en utilisant la configuration suivante :
add_header Set-Cookie "name=value; HttpOnly; Secure";
Copier après la connexion
Cela ajoutera l'en-tête Set-Cookie à la réponse et spécifiera que les cookies ne peuvent être utilisés que sur des connexions HTTP (HttpOnly) et que les cookies ne peuvent être envoyés via des connexions HTTPS (sécurisées).
3. L'effet pratique de Nginx sur la prévention des attaques CSRF
Après avoir adopté la stratégie de sécurité ci-dessus, les attaques CSRF peuvent être efficacement évitées.
- La politique de même origine peut empêcher les sites malveillants d'utiliser des attaques de script intersite (XSS) pour voler les informations d'identité des utilisateurs.
- Activez SSL et activez HSTS pour garantir une connexion sécurisée via HTTPS et empêcher les attaques de l'homme du milieu, le vol de cookies, etc.
- Activez les indicateurs HTTPOnly et Secure pour protéger la confidentialité et l'intégrité des cookies contre le vol et la falsification.
Dans l'ensemble, la politique de sécurité de Nginx est très importante pour protéger la sécurité des applications Web et réduire les pertes causées par les attaques CSRF. Dans le même temps, il est également nécessaire de mettre à jour régulièrement l'application et le serveur Nginx, et de renforcer les mesures préventives en matière d'authentification et d'autorisation pour assurer la sécurité maximale des applications web.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
