如何利用Apache mod_headers模块配置Cross-Origin-Resource-Policy以防御Apache架构中的侧信道攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计821个文字,预计阅读时间需要4分钟。
在Apache架构中,仅依靠`mod_headers`设置`Cross-Origin-Resource-Policy`(CORP)本身不能防止跨站信任攻击,但它可以参与构建防护链——CORP的核心作用是限制资源被跨源嵌入,从而切断部分跨站信任攻击的载体(如恶意页面加载你的敏感图片或字体后,通过计时器旁路推测试内容)。要真正阻断Spectre类硬件级侧信,还需配合`Cross-Origin-Embedder-Policy`(COEP)和`Cross-Origin-Opener-Policy`(COOP)启用跨源隔离(Cross-Origin Isolation)。
确认并启用 mod_headers 模块
Apache 默认可能未启用该模块。需编辑主配置文件(如 /etc/httpd/conf/httpd.conf 或 /etc/apache2/apache2.conf),确保以下行已取消注释:
LoadModule headers_module modules/mod_headers.so
修改后重启 Apache:sudo systemctl restart apache2(Debian/Ubuntu)或 sudo systemctl restart httpd(RHEL/CentOS)。
为静态资源设置 CORP 响应头
CORP 是资源端声明“谁可以加载我”的策略。它适用于图片、字体、脚本、样式表等静态资源。在对应虚拟主机或目录配置中添加:
<IfModule mod_headers.c><FilesMatch "\.(?:ttf|woff2|jpg|jpeg|png|gif|ico|svg|js|css)$">Header set Cross-Origin-Resource-Policy "same-site"</FilesMatch></IfModule>
说明:
– same-site:仅允许同站(协议+域名+端口完全一致)页面加载该资源;
– same-origin:更严格,要求协议、域名、端口三者完全相同;
– cross-origin:明确允许任意跨源嵌入(慎用,仅当资源本身无敏感性且需开放 CDN 加载时)。
必须同步配置 COEP 才能启用跨源隔离
CORP 单独设置不会触发浏览器的跨源隔离模式。要真正关闭 SharedArrayBuffer 限制、防御 Spectre,主 HTML 页面必须返回:
Header set Cross-Origin-Embedder-Policy "require-corp"Header set Cross-Origin-Opener-Policy "same-origin"
注意:
– 这两个头必须同时存在,且作用于主文档响应(即 HTML 页面);
– 所有被该页面加载的跨源资源(如 CDN 图片、第三方脚本),若想成功加载,必须各自返回匹配的 CORP 头(例如 cross-origin);
– 若任一资源缺少 CORP 或值不匹配,浏览器将直接拦截,不发起请求。
验证与调试要点
部署后务必验证实际响应头:
- 用
curl -I https://your-domain.com/res/logo.png检查 CORP 是否生效; - 打开浏览器开发者工具 → Network → 刷新页面 → 查看主 HTML 和关键资源的 Response Headers;
- 在 Console 中执行
self.crossOriginIsolated,返回true表示隔离已启用; - 若出现 “Failed to load resource: net::ERR_BLOCKED_BY_RESPONSE” 错误,说明某资源的 CORP 与 COEP 不兼容,需逐个排查。
不复杂但容易忽略。
本文共计821个文字,预计阅读时间需要4分钟。
在Apache架构中,仅依靠`mod_headers`设置`Cross-Origin-Resource-Policy`(CORP)本身不能防止跨站信任攻击,但它可以参与构建防护链——CORP的核心作用是限制资源被跨源嵌入,从而切断部分跨站信任攻击的载体(如恶意页面加载你的敏感图片或字体后,通过计时器旁路推测试内容)。要真正阻断Spectre类硬件级侧信,还需配合`Cross-Origin-Embedder-Policy`(COEP)和`Cross-Origin-Opener-Policy`(COOP)启用跨源隔离(Cross-Origin Isolation)。
确认并启用 mod_headers 模块
Apache 默认可能未启用该模块。需编辑主配置文件(如 /etc/httpd/conf/httpd.conf 或 /etc/apache2/apache2.conf),确保以下行已取消注释:
LoadModule headers_module modules/mod_headers.so
修改后重启 Apache:sudo systemctl restart apache2(Debian/Ubuntu)或 sudo systemctl restart httpd(RHEL/CentOS)。
为静态资源设置 CORP 响应头
CORP 是资源端声明“谁可以加载我”的策略。它适用于图片、字体、脚本、样式表等静态资源。在对应虚拟主机或目录配置中添加:
<IfModule mod_headers.c><FilesMatch "\.(?:ttf|woff2|jpg|jpeg|png|gif|ico|svg|js|css)$">Header set Cross-Origin-Resource-Policy "same-site"</FilesMatch></IfModule>
说明:
– same-site:仅允许同站(协议+域名+端口完全一致)页面加载该资源;
– same-origin:更严格,要求协议、域名、端口三者完全相同;
– cross-origin:明确允许任意跨源嵌入(慎用,仅当资源本身无敏感性且需开放 CDN 加载时)。
必须同步配置 COEP 才能启用跨源隔离
CORP 单独设置不会触发浏览器的跨源隔离模式。要真正关闭 SharedArrayBuffer 限制、防御 Spectre,主 HTML 页面必须返回:
Header set Cross-Origin-Embedder-Policy "require-corp"Header set Cross-Origin-Opener-Policy "same-origin"
注意:
– 这两个头必须同时存在,且作用于主文档响应(即 HTML 页面);
– 所有被该页面加载的跨源资源(如 CDN 图片、第三方脚本),若想成功加载,必须各自返回匹配的 CORP 头(例如 cross-origin);
– 若任一资源缺少 CORP 或值不匹配,浏览器将直接拦截,不发起请求。
验证与调试要点
部署后务必验证实际响应头:
- 用
curl -I https://your-domain.com/res/logo.png检查 CORP 是否生效; - 打开浏览器开发者工具 → Network → 刷新页面 → 查看主 HTML 和关键资源的 Response Headers;
- 在 Console 中执行
self.crossOriginIsolated,返回true表示隔离已启用; - 若出现 “Failed to load resource: net::ERR_BLOCKED_BY_RESPONSE” 错误,说明某资源的 CORP 与 COEP 不兼容,需逐个排查。
不复杂但容易忽略。