OWASP ASVS项目中关于跨域资源保护的安全要求解析

背景介绍

OWASP应用安全验证标准(ASVS)项目近期针对Web前端安全章节新增了一项关于跨域资源保护的安全要求。这项要求主要针对那些需要身份验证才能访问的资源(如图片、视频、脚本和其他文档)，确保这些资源只能在预期的上下文中被加载或嵌入。

技术问题分析

在现代Web应用中，存在一个常见的安全风险：攻击者可能通过恶意网站嵌入或加载来自其他域的身份验证资源。这种攻击可能导致敏感信息泄露，即使攻击者无法直接读取响应内容，也可以通过判断资源是否加载成功来进行信息推断。

传统上，开发者可能依赖CORS(跨域资源共享)机制来防止这类问题，但CORS本质上是一个"访问控制"机制而非安全控制措施。正如专家指出的，CORS很容易被绕过(例如通过直接使用curl等工具发起请求)。

防护方案对比

项目讨论中提出了几种可行的防护方案：

1. Fetch Metadata验证：通过严格验证Sec-Fetch-* HTTP请求头字段，确保请求确实来自应用本身，而非跨域调用。Facebook等大型互联网公司已采用这种方案，实现了包括框架隔离、资源隔离和导航隔离在内的多种隔离策略。

2. 跨域资源策略(CORP)：设置限制性的Cross-Origin-Resource-Policy HTTP响应头，指示浏览器阻止返回的内容被跨域使用。这是一种相对简单的"选择加入"方法。

3. SameSite Cookie属性：设置适当的SameSite属性(不能为none)，可以防止跨站场景下的问题，但对同站跨源的情况无效。

最终确定的安全要求

经过多方讨论和技术验证，OWASP ASVS最终确定的安全要求表述为：

"验证身份验证资源(如图片、视频、脚本和其他文档)只能在预期的情况下代表用户加载或嵌入。这可以通过严格验证Sec-Fetch-* HTTP请求头字段来实现，确保请求不是来自不适当的跨域调用；或者通过设置限制性的Cross-Origin-Resource-Policy HTTP响应头字段来指示浏览器阻止返回的内容。"

专家建议

在实际实施中，安全专家建议：

1. 对于高度敏感的资源，优先考虑Fetch Metadata验证方案，因为它能在服务器端就阻止请求，而不仅仅是阻止浏览器处理响应。

2. CORP作为一种补充防御措施，实现简单但防护效果有限，适合作为深度防御策略的一部分。

3. 特别注意支付处理器、社交分享按钮等确实需要跨域访问的合法场景，确保这些功能不受新安全措施的影响。

4. 不要依赖CORS作为主要安全控制，始终确保有适当的身份验证和访问控制机制。

这项要求被定为L3级别，反映了其实现复杂度和攻击门槛的平衡考虑。开发团队在实施时应根据具体业务需求和安全风险评估，选择最适合的防护方案组合。