Pokročilá nastavení (Preview)
[Toto téma představuje předběžnou dokumentaci, která může být změněna.]
Pracovní prostor Zabezpečení vám umožňuje dále chránit obsah a data vašeho webu před bezpečnostními hrozbami, a to přímo z návrhářského studia Power Pages. Použijte Rozšířená nastavení pro rychlou a efektivní konfiguraci HTTP hlaviček vašeho webu, konfiguraci Zásad zabezpečení obsahu (CSP), Sdílení zdrojů napříč původem (CORS), souborů cookie, oprávnění a dalších.
Důležité
- Toto je funkce Preview.
- Funkce Preview nejsou určené pro normální používání a mohou mít omezené fungování. Jsou to funkce, které jsou poskytnuté před svým oficiálním vydáním, aby si je zákazníci mohli co nejdříve vyzkoušet a mohli nám napsat své názory.
- Přihlaste se do Power Pages a otevřete svůj web pro úpravy.
- Vyberte Pracovní prostor zabezpečení z levé navigace a poté vyberte Rozšířená nastavení (Preview).
Konfigurace zásad zabezpečení obsahu (CSP)
Zásady zabezpečení obsahu (CSP) používají webové servery k vynucení sady pravidel zabezpečení pro webovou stránku. Pomáhá chránit weby před různými typy bezpečnostních útoků, jako je cross-site scripting (XSS), vkládání dat a další útoky vkládání kódu.
Nařízení
Podporovány jsou následující nařízení.
| Nařízení | Popis |
|---|---|
| Výchozí zdroj | Určuje výchozí zdroj pro obsah, který není explicitně definován jinými směrnicemi. Působí jako záložní řešení pro jiné směrnice. |
| Zdroj obrázku | Určuje platné zdroje pro obrázky. Řídí domény, ze kterých lze načítat obrázky. |
| Zdroj písma | Určuje platné zdroje pro písmo. Používá se k ovládání domén, ze kterých lze načítat webová písma. |
| Zdroj skriptu | Určuje platné zdroje kódu JavaScript. Zdroj skriptu může zahrnovat specifické domény, 'self' pro stejný původ, 'unsafe-inline' pro vložené skripty a 'nonce-xyz' pro skripty se specifickým nonce. Vyberte, zda chcete povolit nonce nebo vložit nebezpečné hodnocení. Další informace naleznete v tématu Správa zásad zabezpečení obsahu vašeho webu: zapnutí nonce |
| Zdroj stylu | Určuje platné zdroje pro šablony stylů. Podobně jako script-src může obsahovat domény, 'self', 'unsafe-inline' a 'nonce-xyz'. |
| Připojit zdroj | Určuje platné zdroje pro XMLHttpRequest, WebSocket nebo EventSource. Řídí domény, do kterých může stránka odesílat síťové požadavky. |
| Zdroj média | Určuje platné zdroje pro zvuk a video. Používá se k ovládání domén, ze kterých lze načítat mediální prostředky. |
| Zdroj rámce | Určuje platné zdroje pro rámce. Řídí domény, ze kterých může stránka vkládat rámce. |
| Frame Ancestors | Určuje platné zdroje, které mohou vložit aktuální stránku jako rámec. Řídí, které domény mohou stránku vkládat. |
| Akce formuláře | Určuje platné zdroje pro odeslání formuláře. Definuje domény, do kterých lze odesílat data formuláře. |
| Zdroj objektu | Určuje platné zdroje pro prostředky prvku objektu, jako jsou soubory Flash nebo jiné vložené objekty. Pomáhá řídit, odkud lze tyto objekty načíst. |
| Zdroj pracovního procesu | Určuje platné zdroje pro webové pracovní procesy, včetně vyhrazených pracovních procesů, sdílených pracovních procesů a servisních pracovních procesů. Pomáhá řídit, odkud lze tyto skripty pracovních procesů načíst a spustit. |
| Zdroj manifestu | Určuje platné zdroje pro webové pracovní procesy, včetně vyhrazených pracovních procesů, sdílených pracovních procesů a servisních pracovních procesů. Pomáhá řídit, odkud lze tyto skripty pracovních procesů načíst a spustit. |
| Podřízený zdroj | Určuje platné zdroje pro webové pracovní procesy, včetně vyhrazených pracovních procesů, sdílených pracovních procesů a servisních pracovních procesů. Pomáhá řídit, odkud lze tyto skripty pracovních procesů načíst a spustit. |
Pro každou direktivu můžete vybrat buď konkrétní adresu URL, všechny domény, nebo žádnou.
Pokročilou konfiguraci naleznete v části Správa zásad zabezpečení obsahu vašeho webu: nastavení CSP webu.
Konfigurace sdílení prostředků napříč původem (CORS)
CORS (sdílení prostředků napříč původem) používají webové prohlížeče k tomu, aby webovým aplikacím, které běží v jedné doméně, povolily nebo zakázaly žádost a přístup k prostředkům z jiné domény.
Nařízení
Podporovány jsou následující nařízení.
| Nařízení | Popis | Hodnota(y) |
|---|---|---|
| Povolit přístup k prostředkům ze serveru | Také známý jako Access-Control-Allow-Origin pomáhá serveru rozhodnout, které zdroje mají povolen přístup k jeho zdrojům. Původem mohou být domény, protokoly a porty. | Vyberte adresy URL domény |
| Odesílat hlavičky během žádostí o server | Označuje se také jako „Access-Control-Allow-Headers“ a pomáhá definovat hlavičky, které lze odesílat v žádostech z jiného zdroje pro přístup k prostředkům na serveru. | Vyberte konkrétní záhlaví s následujícími oprávněními Původ Přijmout Autorizace Obsah – typ |
| Zveřejňovat hodnoty hlaviček v kódu na straně klienta | Tato direktiva, známá také jako Access-Control-Expose-Headers, dává prohlížeči pokyn, které hlavičky odpovědí by měly být vystaveny a zpřístupněny žádajícímu kódu na straně klienta v požadavcích napříč původem. | Vyberte konkrétní záhlaví s následujícími oprávněními Původ Přijmout Autorizace Obsah – typ |
| Definovat metody přístupu k prostředkům | Označuje se také jako „Access-Control-Allow-Methods“ a pomáhá definovat, které metody HTTP jsou povoleny při přístupu k prostředkům na serveru z jiného zdroje. | GET – požaduje data ze zadaného zdroje POST – odesílá data ke zpracování do zadaného zdroje PUT – aktualizuje nebo nahrazuje zdroj na konkrétní adrese URL HEAD -Stejné jako GET, ale načte pouze záhlaví a ne skutečný obsah PATCH - Částečně upraví zdroj OPTIONS - Požaduje informace o možnostech komunikace dostupných pro zdroj nebo server DELETE – Odstraní zadaný zdroj |
| Určit dobu trvání ukládání výsledků žádosti do mezipaměti | Označuje se také jako „Access-Control-Max-Age“ a pomáhá definovat dobu, po kterou mohou být předběžné výsledky žádosti uloženy v mezipaměti prohlížeče. | Zadejte dobu trvání (sekundy) |
| Povolit webu sdílet přihlašovací údaje | Označuje se také jako „Access-Control-Allow-Credentials“ a pomáhá definovat, jestli web může během žádostí „cross-origin“ sdílet přihlašovací údaje (například soubory cookie, autorizační hlavičky nebo certifikáty SSL na straně klienta). | Ano/Ne |
| Zobrazit webovou stránku jako prvek iFrame ze stejného zdroje | Označuje se také jako „X-Frame-Options“ a umožňuje zobrazení stránky v prvku iframe pouze v případě, že žádost pochází ze stejného zdroje. | Ano/Ne |
| Blokovat inspekci MIME | Označuje se také jako „X-Content-Type-Options: no-sniff“ a pomáhá zabránit webovým prohlížečům v provádění inspekce typu MIME (typ obsahu) nebo hádání typu obsahu prostředku. | Ano/Ne |
Konfigurace souborů cookie (CSP)
Záhlaví souboru cookie v požadavku HTTP obsahuje informace o souborech cookie dříve uložených webem ve vašem prohlížeči. Když navštívíte webovou stránku, váš prohlížeč odešle na server hlavičku cookie obsahující všechny relevantní soubory cookie spojené s touto stránkou.
Nařízení
Podporovány jsou následující nařízení.
| Nařízení | Popis | Záhlaví |
|---|---|---|
| Pravidla přenosu pro všechny soubory cookie | Kontrolujte, jak jsou soubory cookie odesílány s požadavky napříč původy. Jde o bezpečnostní funkci, jejímž cílem je zmírnit určité typy útoků na padělání požadavků mezi stránkami (CSRF) a únik informací. | Toto nastavení odpovídá záhlaví SameSite/Default. |
| Pravidla přenosu pro konkrétní soubory cookie | Kontrolujte, jak jsou soubory cookie odesílány s požadavky napříč původy. Jde o bezpečnostní funkci, jejímž cílem je zmírnit určité typy útoků na padělání požadavků mezi stránkami (CSRF) a únik informací. | Toto nastavení odpovídá souboru cookie SameSite/Specific hlavičky. |
Konfigurace zásad oprávnění (CSP)
Hlavička Permissions-Policy umožňuje webovým vývojářům řídit, které funkce webové platformy jsou na webové stránce povoleny nebo zakázány.
Nařízení
Následující direktivy jsou podporovány a řídí přístup ke svým příslušným rozhraním API.
- Accelerometer
- Ambient-Light-Sensor
- Přehrát automaticky
- Battery
- Kamera
- Zobrazení
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Platba
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigurace dalších hlaviček HTTP
Povolit zabezpečené připojení přes HTTPS
Nastavení odpovídající hlavičce HTTP Strict-Transport-Security informuje prohlížeč, že se má k webu připojit pouze přes HTTPS, i když uživatel zadá do adresního řádku „http://“. Pomáhá předcházet útokům typu man-in-the-middle tím, že zajišťuje, že veškerá komunikace se serverem je šifrována, a chrání před určitými typy útoků, jako jsou útoky na snížení verze protokolu a únosy souborů cookie.
Poznámka:
Z bezpečnostních důvodů toto nastavení nelze změnit.
Zahrnout do hlaviček HTTP informace o odkazujícím
HTTP hlavička Referrer-Policy se používá k řízení toho, kolik informací o původu požadavku (informace o odkazujícím) je zveřejněno v hlavičkách HTTP, když uživatel přejde z jedné stránky na druhou. Tato hlavička pomáhá řídit aspekty ochrany soukromí a zabezpečení související s informacemi o odkazujícím.
| Hodnota | Popis |
|---|---|
| Žádný odkazující | No-referrer znamená, že v hlavičkách nejsou odesílány žádné informace o odkazujícím. Toto nastavení je nejcitlivější na ochranu soukromí. |
| Žádný odkazující při downgradu | Odesílá úplné informace o odkazujícím při přechodu z HTTPS na web HTTP, ale pouze původ (žádná cesta nebo dotaz) při navigaci mezi weby HTTPS. |
| Stejný původ – Zásady pro odkazující | Stejný původ odešle úplné informace o odkazujícím pouze v případě, že je požadavek na stejný zdroj. U požadavků napříč původem se posílá pouze původ. |
| Původ | Původ odesílá původ odkazujícího, ale žádné informace o cestě nebo dotazu, a to jak pro požadavky stejného původu, tak pro požadavky napříč původem. |
| Striktní zdroj | Podobné jako zdroj, ale odesílá informace o odkazujícím pouze pro žádosti ze stejného zdroje. |
| Zdroj při žádosti „Cross-Origin“ | Podobné jako zdroj, ale odesílá informace o odkazujícím pouze pro žádosti ze stejného zdroje. |