Sdílet prostřednictvím

Správa zásad zabezpečení obsahu

  • Článek

Poznámka

S účinností od 12. října 2022 jsou portály Power Apps Power Pages. Další informace: Služba Microsoft Power Pages je nyní obecně dostupná (blog)
Zanedlouho migrujeme a sloučíme dokumentaci k portálům Power Apps s dokumentací k Power Pages.

Zásady zabezpečení obsahu (CSP) jsou další vrstvou zabezpečení, která pomáhá rozpoznávat a zmírňovat některé typy webových útoků, jako je krádež dat, znehodnocení webu nebo distribuce malwaru. CSP poskytuje rozsáhlou sadu zásad, které pomáhají řídit zdroje, které může stránka webu načítat. Každá směrnice definuje omezení pro určitý typ prostředku.

Když je CSP zapnuto pro portálový web, zvyšuje zabezpečení blokováním připojení, skriptů, písem a dalších typů prostředků, které pocházejí z neznámých nebo škodlivých zdrojů. CSP je na portálech ve výchozím nastavení vypnuto; mnoho webových stránek však může vyžadovat CSP pro zvýšení dalšího zabezpečení.

Další informace o CSP viz Informace o zásadách zabezpečení obsahu.

Konfigurace CSP

  1. Přihlaste se do Power Apps.

  2. Ujistěte se, že jste v prostředí, kde váš portál existuje.

  3. V levém podokně vyberte Aplikace a poté vyberte aplikaci Správa portálu.

    Možnost nabídky Aplikace pro Power Apps s vybranou aplikací Správa portálů.

  4. V levém podokně vyberte Nastavení webu.

  5. Vytvořte (nebo aktualizujte) nastavení webu HTTP/Content-Security-Policy a nastavte středníkem oddělené požadované hodnoty uvedené ve stránce Informace o CSP.

    Příklad

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Možnost nabídky Nastavení webu pro Power Apps.

Povolení hodnoty nonce

Povolení hodnoty nonce (číslo použité jednou) zablokuje provádění všech vložených skriptů kromě těch, které jsou specifikovány v rámci vloženého skriptu. Ke každému skriptu uvedenému v hlavičce CSP se vygeneruje jedinečná kryptografická hodnota nonce. Hodnota nonce v portálech podporuje pouze vložené skripty a vložené obslužné rutiny událostí. Další informace o hodnotě nonce viz Použití hodnoty nonce s CSP.

Chcete-li povolit hodnotu nonce v portálech, přidejte hodnotu script-src 'nonce'; do nastavení webu HTTP/Content-Security-Policy.

Příklady

Pokud chcete přísné zásady a nechcete povolit načítání skriptů ze zdrojů mimo portály, použijte následující:

script-src 'self' content.powerapps.com 'nonce'

Pokud chcete načíst skripty z libovolného zabezpečeného zdroje, použijte následující:

script-src https: 'nonce'

Poznámka

  • Když je povolena hodnota nonce, hodnota unsafe-eval bude automaticky vložena, aby bylo podporováno automaticky ověření nebezpečného kódu. Chcete-li zakázat automatické vložení hodnoty unsafe-eval, aktualizujte nastavení webu HTTP/Content-Security-Policy/Inject-unsafe-eval na false.
  • Pokud je vložení hodnoty unsafe-eval zakázáno, ověření automaticky generovaných polí v základním nebo rozšířeném formuláři již nemusí správně fungovat.