Page Shield现可监测第三方JavaScript代码发起的恶意出站连接

Page Shield现可监测第三方JavaScript代码发起的恶意出站连接

许多网站使用第三方JavaScript库，通过使用预建功能来减少开发时间。常见示例包括结账服务、分析工具，或实时聊天集成。任何JavaScript库都可能将网站访问者的数据发送到未知地点。

如果您管理着一个网站，曾想知道最终用户的数据可能去了哪里、哪些人可以访问。从今天开始，您可以使用Page Shield的Connection Monitor找到答案。

Page Shield是我们的客户端安全解决方案，旨在检测直接影响浏览器环境的恶意行为和破坏行为，例如利用第三方JavaScript库中的漏洞。

今天上市的Connection Monitor是Page Shield最新补充的功能，让您可以看到用户浏览器上由您网站上添加的第三方JavaScript发起的出站连接。然后，您可以审查这些信息，确保只有合适的第三方收到敏感数据。

借助Connection Monitor，Business和Enterprise计划的客户可以获得对出站连接的可见性。如果您使用了我们的Page Shield Enterprise附加组件，每发现一个潜在的恶意连接，您都会收到通知。

使用Connection Monitor覆盖更多攻击面

Connection Monitor扩大了捕捉用户浏览器中可能发生的恶意行为的机会网，与此前Page Shield的核心功能——Script Monitor所提供的可见性相辅相成。

Script Monitor专注于分析JavaScript代码，以发现恶意信号，而Connection Monitor则旨在研究数据去向。这两项功能完美结合，相辅相成。

事实上，在Web应用程序环境中，客户端破坏经常导致数据外泄。最有名的示例是Magecart式攻击恶意行为者试图直接从应用程序的结账流程（通常是在电子商务网站上）中泄漏信用卡数据而不改变应用程序的行为。

由于这些攻击利用的是不由您直接控制的JavaScript（例如嵌入式小部件），因此通常很难检测到，而且操作起来对用户体验没有任何明显的影响。

补充内容安全策略

Page Shield使用内容安全策略（CSP）来接收浏览器的数据，但通过关注核心问题——检测恶意行为（CSP开箱时没有的功能）进行补充。

内容安全策略使用广泛，让您（作为网站管理员）告诉浏览器可以加载哪些内容，以及从哪里加载。这在原则上是有用的，但在实践中，对于大型应用程序来说，CSP很难维护，而且最终往往使用太广泛，导致效率低下。更重要的是，CSP没有提供内置机制来检测恶意行为。这就是Page Shield的作用。

此前，借助Script Monitor，Page Shield通过只关注JavaScript文件，运行我们的JavaScript代码分类器等工具来检测恶意行为。从今天开始，借助Connection Monitor，我们还可以对连接的URL端点进行威胁情报馈送查询，让我们能够快速发现潜在的可疑数据泄漏。

Connection Monitor：底层实现

Connection Monitor使用内容安全策略（CSP）的connect-src指令接收来自浏览器的出站连接信息。

然后将这些信息存储起来以便访问，并通过连接状态、连接页面来源、域名信息以及威胁馈送信息（如果能访问我们的Enterprise附加组件）等额外洞察力进行完善。

要使用Connection Monitor，您需要通过Cloudflare代理您的应用程序。开启时，它将仅根据抽样的HTML页面加载比例插入以下HTTP响应标头，实施用于接收数据的内容安全策略：

该HTTP响应标头要求浏览器将有关脚本（script-src）和连接（connect-src）的信息发送到指定端点。默认情况下，端点的主机名为csp-reporting.cloudflare.com，但如果使用我们的Enterprise附加组件，您可将其修改，与您网站的主机名相同。

使用上述CSP，浏览器将报告由以下页面发起的任何连接：

·ping、

·fetch（）、

·XMLHttpRequest、

·WebSocket,

·EventSource和

·Navigator.sendBeacon（）

连接报告示例如下：

使用上面这种报告，我们可以创建一个出站连接URL清单及其发起页面。然后可通过仪表板使用这些数据，并包括以下信息进行完善：

·连接状态：如果最近见到过该连接，则为活动状态

·时间戳：第一次见到和最后一次见到的时间

·元数据：WHOIS信息、SSL证书信息（如有）、域名注册信息

·恶意信号：威胁馈送域名和URL查询

URL馈送查询只有在存储了完整的连接路径时才可用。

隐私说明

在Cloudflare，我们希望同时确保直接客户和终端客户的隐私性。因此，默认情况下，Connection Monitor只存储和收集连接URL的方案和主机部分，例如，如果浏览器向以下端点发送数据：

https://connection.example.com/session/abc

Connection Monitor将只存储https://connection.example.com，舍弃路径/session/abc。这确保我们最大程度降低存储会话ID或完整URL中可能发现的其他敏感数据的风险。

不存储路径则确实意味着，在某些特定情况下，我们无法从我们的威胁情报中进行完整的URL馈送查询。为此，如果您知道没有在连接路径中插入敏感数据，您可以轻松地从仪表板上开启路径存储。按预期计划，将继续支持域名查询。今后还将进一步支持存储查询字符串。

下一步

Script Monitor和Connection Monitor只是CSP提供的众多指令中的，我们计划在Page Shield中支持的两项功能。下一步，我们已经在开发一些其他功能，包括直接从仪表板建议和实施积极和消极的策略。

Connection Monitor额外提供对应用程序行为的可见性，我们为此备感兴奋，并期待其下一步发展。

相关推荐: 又一跨境电商成功融资，美国新冠确诊超814万例

【APP专享】听跨境资讯，用雨果电台，点击收听>> 跨境电商SaaS ERP领星完成7000万人民币A轮融资 近日，跨境电商行业的SaaS软件服务商领星ERP完成了7000万人民币A轮融资，由高瓴创投、顺为资本共同领投，蓝湖资本跟投。在此之前，领星…