追記20180606
Chrome独自と書いていましたが、「Fetch Standard」に取り込まれていることを確認しました
すでに、Chromeで「Cross-Origin Read Blocking (CORB) blocked cross-origin response」というエラーが出るようになっております。imgタグからクロスオリジンでhtmlファイルを取得したり、タグとレスポンスのcontent-typeが一致してない場合に出ます。
もともと、このChromeにCross-Origin Read Blocking (CORB)という機能を実装するという議論が、blink-devのメーリングリストに投稿されています。
「Cross-Origin Read Blocking (CORB)」 に詳しい説明があるので、CORB とはなんぞやと簡単に説明を読んで見る。
CORBはまだChromeで議論されている仕組みであり、他のブラウザやクライアントでそのまま適応されるものではない点注意
Cross-Origin Read Blocking (CORB)
CORBとは、一言でいうと、ある種の攻撃を防ぐために、画像デコーダやJavaScriptエンジンがクロスオリジンのリソースを読み込む前にブロックする仕組みです。
imgタグやscriptタグは他のドメインのリソースを読み込むことが出来ます。これは、Cookieが付くのでそのユーザのみがアクセス出来るリソースだったり、そのユーザが属しているプライベートネットワークのみからアクセスできるリソースだったりします。
例えば、下記のように他ドメインのjsonファイルを読み込むような下記要素を用意します
<script src = "https://example.com/secret.json">
XSSI攻撃といった、JavaScript Arrayコンストラクタを上書きすることで内容を読みとることができたり。その他にも多くの攻撃手法が見つかっています。(参考PDF)
また、img要素でも、ロードしメモリ上に配置された後にサイドチャネル攻撃でその中身を読み取る方法も可能性としてあります。
<img src="https://example.com/secret.json">
CORBはクロスドメインのリソースにおいて、JavaScriptエンジンや画像デコーダが受取る前に読み込みをブロックする仕組みのようです。
CORBにおけるブロック
CORBによって保護される必要があると判定された時、レスポンスは以下のように変更されます
- レスポンスボディが空になる
- レスポンスヘッダは下記のものに絞られる
対象となる読み込み方法
下記の手段で取得されるリソースが、CORB保護対象となり得る
- XHR and fetch()
- ping, navigator.sendBeacon()
- <link rel="prefetch" ...>
- “image” requests like <img> tag, /favicon.ico, SVG‘s <image>, CSS’ background-image, etc. script-like destinations like <script>, importScripts(), navigator.serviceWorker.register(), audioWorklet.addModule(), etc.
- “audio”, “video” or “track”
- “font”
- “style”
- “report” requests like CSP reports, NEL reports, etc.
<iframe>, <object>, <embed>は別のセキュリティで保護されており、別のプロセスで実行されるため推測は困難(らしい
レスポンスがCORBで保護されるかの条件
レスポンスがJSON、HTML、XMLの場合に保護対象になります。
- X-Content-Type-Options: nosniffの場合、Content-TypeがHTML MIME type・JSON MIME type ・XML MIME type・text/plainの場合 (image/svg+xmlを除く)
- レスポンスが206の場合、Content-TypeがHTML MIME type・JSON MIME type ・XML MIME typeの場合 (image/svg+xmlを除く)
- それ以外の場合はレスポンスボディを確認します
上記MIME typeの定義はこちら
demo
オプションを付けて起動すると動作するらしい
https://anforowicz.github.io/xsdb-demo/index.html
consoleに下記のように表示される
Blocked current origin from receiving cross-site document at https://www.chromium.org/ with MIME type text/html.
その他
ドキュメントには、現在のWebへの影響・互換性や、さらに詳しいアルゴリズムなどの解説などもある