Sdílet prostřednictvím

Správa zásad zabezpečení obsahu webu

  • Článek

Zásady zabezpečení obsahu (CSP) jsou další vrstvou zabezpečení, která pomáhá rozpoznávat a zmírňovat některé typy webových útoků, jako je krádež dat, znehodnocení webu nebo distribuce malwaru. CSP poskytuje rozsáhlou sadu zásad, které pomáhají řídit zdroje, které může stránka webu načítat. Každá směrnice definuje omezení pro určitý typ prostředku.

Když je CSP zapnuto pro web Power Pages, zvyšuje zabezpečení webu blokováním připojení, skriptů, písem a dalších typů prostředků, které pocházejí z neznámých nebo škodlivých zdrojů.

CSP je ve výchozím nastavení vypnuto. Weby však mohou vyžadovat CSP pro zvýšení dalšího zabezpečení.

Použijte aplikaci Správa portálu ke správě CSP.

Nastavení CSP webu

  1. Přihlaste se do aplikace Power Pages a otevřete svůj web pro úpravy.

  2. V levém bočním panelu vyberte Další položky () >Správa portálu.

  3. V levém panelu aplikace Správa portálu vyberte Nastavení webu.

  4. Vytvořte nebo upravte nastavení webu HTTP/Content-Security-Policy.

  5. Nastavte požadované hodnoty z reference CSP oddělené středníky, například script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Zapnutí nonce

Nonce představuje kód, obvykle číselný, který je určen k použití pouze jednou („číslo jednou“). Když použijete nonce s CSP svého webu, ke každému skriptu uvedenému v hlavičce CSP se vygeneruje jedinečný kryptografický kód. Je povoleno spouštět pouze vložené skripty, které mají atribut nonce, který se shoduje s atributem v CSP. Skripty, které mohl útočník vložit do stránky, jsou blokovány, protože neobsahují atribut nonce. Další informace o používání nonce spolu s CSP.

Na webech Power Pages nonce podporuje pouze vložené skripty a vložené obslužné rutiny událostí.

Chcete-li zapnout nonce pro svůj web, přidejte hodnotu script-src 'nonce'; do nastavení webu HTTP/Content-Security-Policy. Následuje několik příkladů.

  • Chcete-li nastavit přísné zásady, které nepovolí načítání skriptů ze zdrojů mimo web Power Pages, přidejte do nastavení webu HTTP/Content-Security-Policy následující hodnotu: script-src 'self' content.powerapps.com 'nonce'

  • Pokud chcete načíst skripty z libovolného zabezpečeného zdroje, přidejte následující hodnotu: script-src https: 'nonce'

Když je zapnuto nonce, vloží se unsafe-eval, aby se podpořilo automatické vyhodnocení nebezpečného kódu. Chcete-li vypnout automatické vložení hodnoty unsafe-eval, změňte nastavení webu HTTP/Content-Security-Policy/Inject-unsafe-eval na False. Mějte na paměti, že pokud je vložení unsafe-eval vypnuto, ověření automaticky generovaných polí na základních nebo vícekrokových formulářů už nemusí správně fungovat.