Del via

Administrere CSP-sikkerhedspolitik for indhold (Content Security Policy)

  • Artikel

Bemærk

Fra 12. oktober 2022 bliver Power Apps-portaler til Power Pages. Flere oplysninger: Microsoft Power Pages er nu generelt tilgængelig (blog)
Vi overfører og fletter snart dokumentationen til Power Apps-portalerne med Power Pages-dokumentationen.

CSP (Content Security Policy) er et ekstra lag sikkerhed, der hjælper med at registrere og afhjælpe visse typer webangreb, f.eks. angreb af data, webstedsudbrud eller distribution af malware. CSP indeholder et omfattende sæt politikker, der hjælper med at styre de ressourcer, som en webstedsside må indlæse. I de enkelte direktivet defineres begrænsningerne for en bestemt ressourcetype.

Når CSP er slået til for et portalwebsted, er det med til at forbedre sikkerheden ved at blokere forbindelser, scripts, skrifttyper og andre typer ressourcer, der stammer fra ukendte eller ondsindede kilder. CSP er som standard slået fra i portaler. Men mange websteder kræver måske, at CSP forbedrer anden sikkerhed.

Du kan finde flere oplysninger om CSP under Reference til sikkerhedspolitik for indhold.

Konfigurere CSP

  1. Log på Power Apps.

  2. Kontrollér, at du er i det miljø, hvor portalen findes.

  3. Vælg Apps i venstre rude, og vælg derefter Portaladministration-appen.

    Menuvalget Apps med Power Apps, hvor appen Portaladministration er valgt.

  4. Vælg Indstillinger for websted i venstre rude.

  5. Opret (eller opdater) indstillingen for webstedet HTTP/Content-Security-Policy, og angiv de påkrævede værdier fra siden CSP-reference adskilt af semikolon.

    Eksempel

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Menuvalget Indstillinger for websted til Power Apps.

Aktivér nonce

Hvis du aktiverer Nonce (nummer, der bruges én gang), blokeres udførelsen af alle indbyggede scripts med undtagelse af dem, der er angivet i det indbyggede script. Der oprettes en entydig kryptografisk nonce, som føjes til hvert script, der er angivet i CSP-headeren. Nonce i portaler understøtter kun indbyggede scripts og indbyggede hændelseshandlere. Du kan finde flere oplysninger om nonce i Brug af nonce med CSP.

Hvis du vil aktivere nonce i portaler, skal du føje værdien script-src 'nonce'; til indstillingen for webstedet HTTP/Content-Security-Policy.

Eksempler

Hvis du vil have en streng politik og ikke vil tillade indlæsning af script fra kilder uden for portaler, skal du bruge følgende:

script-src 'self' content.powerapps.com 'nonce'

Hvis du vil indlæse scripts fra en sikker kilde, skal du bruge følgende:

script-src https: 'nonce'

Bemærk

  • Når nonce er aktiveret, bliver unsafe-eval automatisk indsat for at understøtte den automatiske validering af usikker kode. Hvis du vil deaktivere automatisk indsætning af unsafe-eval, skal du opdatere webstedsindstillingen HTTP/Content-Security-Policy/Inject-unsafe-eval til false.
  • Hvis indsætningen unsafe-eval er deaktiveret, fungerer validering af automatisk genererede felter på basis- eller avancerede formularer måske ikke længere korrekt.