探究权限提示中的来源显示操控
自从2025年以来,我一直在深入研究浏览器安全,最近观察到现代浏览器在顶级站点通过iframe委托权限访问时,显示权限提示的方式存在一种配置不当的现象——我称之为“权限提示中的来源显示操控”。这一观察引发了一个关键问题:这种行为是否应被视为安全漏洞?
问题所在?
在多个现代浏览器中,权限提示显示的是顶级来源(origin),而非来自第三方iframe的实际请求来源。这个设计决策意味着,如果攻击者通过HTML注入或跨站脚本(XSS)漏洞注入了一个iframe,浏览器的提示会误导性地表明是受信任的站点在请求权限——即使实际发出请求的是一个恶意域。结果,诸如麦克风、摄像头或地理位置访问等敏感权限可能被授予攻击者控制的域。
攻击场景
假设攻击者控制了一个恶意域(例如,attacker.com)。通过利用受信任网站(例如 target.xyz)上的HTML注入或XSS漏洞,攻击者可以注入请求权限的iframe。一个通用攻击载荷可能如下所示:
|
|
当用户访问该站点时,这些iframe会静默加载。尽管实际的权限请求源自attacker.com,但浏览器的提示显示顶级站点(例如target.xyz)为请求者。如果用户点击“允许”,恶意内容便获得了该权限的访问权——但仅限于该内容仍被受信任站点框架包裹的期间。
(图片说明:浏览器提示显示受害网站是请求权限的一方)
(图片说明:浏览器授权了攻击者控制的域访问摄像头、位置和麦克风。)
行业回应:各大浏览器的观点
Chrome的视角
Chrome的文档证实,在权限提示中显示顶级来源是刻意的设计决策。其理由是,通过一致地显示用户正在交互的站点来减少用户的困惑。更多细节,请参见此处。
Firefox的视角
Firefox遵循权限策略(Permissions-Policy)规范,正确地显示被授予权限的来源。正如他们在bug报告(bug 1945848)中所解释的,Firefox的方法与其他主流浏览器一致,以确保清晰度,并防止在欺骗性广告中看到误导性提示。
Apple(Safari)的视角
Apple已经审查了这个问题,并确认Safari的行为符合设计。根据他们的回应,权限提示中显示的URL准确地反映了哪个站点正在请求访问,确认所观察到的行为是故意的。值得注意的是,尽管攻击场景看起来令人担忧,但这种攻击并不会授予“持久”的访问权限——权限仅在框架内容显示期间有效。
通过Permission-Policy头进行缓解
一个常见的建议是,通过正确配置的Permission-Policy头,可以限制哪些域可以请求某些权限,从而可能缓解此问题。例如,如果一个站点使用仅授予自身来源(即'self')权限的头部,那么注入的第三方iframe将被阻止获得这些权限。
然而,需要注意的是,虽然Chrome支持Permission-Policy头并能强制执行此类限制,但Firefox和Safari目前不支持此头部。这意味着,在不支持该头部的浏览器中,误导性权限提示的可能性仍然存在。关于该头部的进一步阅读,请参见MDN关于Permissions-Policy的文档。
(图片说明:)
这是一个安全漏洞吗? 剖析争论
支持方观点:
- UI欺骗:注入漏洞让攻击者能够显示提示,表明是受信任站点在请求,欺骗用户授予权限。
- 风险放大:被攻陷的顶级站点可能无意中将权限委托给恶意内容。
- 安全模型受质疑:误导性提示可能导致未经授权的访问,对安全模型的可靠性构成挑战。
反对方观点:
- 故意设计:浏览器遵循Permissions-Policy规范,显示顶级站点以减少混乱和困惑。
- 依赖于其他漏洞:该漏洞利用需要XSS或HTML注入;在安全环境中,风险很低。
- 可用性权衡:这种设计避免了用户被多个权限请求淹没。
- 有限的缓解选项:虽然Chrome支持Permission-Policy头,但Firefox和Safari不支持。
最后的思考
权限提示中的来源显示操控凸显了可用性与安全性之间的微妙平衡。虽然现代浏览器为了减少用户困惑而刻意显示顶级站点,但这种设计在结合HTML注入/XSS等漏洞时可能被利用。
如果安全漏洞被定义为任何可能导致未授权访问或数据泄漏的行为,那么误导性的UI元素确实值得担忧。然而,做出这种权衡是为了解决诸如欺骗性广告等问题。
最终,这种行为究竟是一个安全缺陷,还是一种有意的妥协,仍然有待讨论。欢迎您分享您的想法——如果您认为我误解了这个问题,请告诉我。