Avancerede indstillinger (forhåndsversion)
[Dette emne er en foreløbig udgivelse af dokumentationen, og der kan forekomme ændringer.]
Sikkerhedsarbejdsområdet giver dig mulighed for yderligere at beskytte dit websteds indhold og data mod sikkerhedstrusler direkte fra Power Pages design studio. Brug avancerede indstillinger til at konfigurere HTTP-headere på webstedet hurtigt og effektivt, konfigurere CSP (Content Security Policy), CORS (Cross Origin Resource Sharing), cookies, tilladelser og meget mere.
Vigtigt!
- Dette er en forhåndsversion af funktionen.
- Forhåndsversionsfunktionerne er ikke beregnet til produktionsformål og kan have begrænset funktionalitet. Disse funktioner er tilgængelige før en officiel udgivelse, så kunderne kan få tidlig adgang og give feedback.
- Log på Power Pages, og åbn dit websted til redigering.
- Vælg Sikkerhedsarbejdsområde fra venstre navigation, og vælg derefter Avancerede indstillinger (forhåndsversion)
Konfigurere sikkerhedspolitik for indhold (CSP)
Indholdssikkerhedspolitik (CSP) bruges af webservere til at gennemtvinge et sæt sikkerhedsregler for en webside. Den hjælper med at beskytte websteder mod forskellige typer sikkerhedsangreb, f.eks. XSS (cross-site scripting), datainjektion og andre angreb med kodeinjektion.
Direktiver
Følgende direktiver understøttes.
| Direktiv | Beskrivelse |
|---|---|
| Standardkilde | Angiver standardkilden for indhold, der ikke eksplicit er defineret af andre brugere. Den fungerer som reserve for andre brugere. |
| Billedkilde | Angiver gyldige kilder til billeder. Styrer de domæner, som billeder kan indlæses fra. |
| Skrifttypekilde | Angiver gyldige kilder til skrifttyper. Bruges til at styre de domæner, som webskrifttyper kan indlæses fra. |
| Scriptkilde | Angiver gyldige kilder til JavaScript-kode. Scriptkilden kan omfatte bestemte domæner, 'selv' med samme oprindelse, 'usikker-inline' for indbyggede scripts og 'nonce-xyz' for scripts med en bestemt nonce. Vælg at aktivere ikke-aktiveret eller usikker eval. Få mere at vide på Administrerer sikkerhedspolitik for webstedets indhold: Aktivér nonce |
| Typografikilde | Angiver gyldige kilder til typografiark. På samme måde som med script-src kan det inkludere domæner, 'selv', 'usikker-inline' og 'nonce-xyz'. |
| Connect-kilde | Angiver gyldige kilder til XMLHttpRequest, WebSsourceet eller EventSource. Styrer, hvilke domæner siden kan oprette netværksanmodninger for. |
| Mediekilde | Angiver gyldige kilder til lyd og video. Bruges til at styre de domæner, som medieressourcer kan indlæses fra. |
| Rammekilde | Angiver gyldige kilder til rammer. Styrer de domæner, som siden kan indlejre rammer fra. |
| Ramme-overordnede | Angiver gyldige kilder, der kan indlejre den aktuelle side som en ramme. Styrer, hvilke domæner der må indlejre siden. |
| Formularhandling | Angiver gyldige kilder til formularafsendelser. Definerer de domæner, som formulardata kan sendes til. |
| Objektkilde | Angiver gyldige kilder til objektelementet, f.eks. Flash-filer eller andre integrerede objekter. Det gør det nemmere at styre, hvilken oprindelse disse objekter kan indlæses fra. |
| Arbejderkilde | Angiver gyldige kilder for webmedarbejdere, herunder dedikerede medarbejdere, delte medarbejdere og servicemedarbejdere. Det gør det nemmere at styre, hvilken oprindelse disse arbejderscripts kan indlæses og udføres fra. |
| Manifestkilde | Angiver gyldige kilder for webmedarbejdere, herunder dedikerede medarbejdere, delte medarbejdere og servicemedarbejdere. Det gør det nemmere at styre, hvilken oprindelse disse arbejderscripts kan indlæses og udføres fra. |
| Underordnet kilde | Angiver gyldige kilder for webmedarbejdere, herunder dedikerede medarbejdere, delte medarbejdere og servicemedarbejdere. Det gør det nemmere at styre, hvilken oprindelse disse arbejderscripts kan indlæses og udføres fra. |
I forbindelse med de enkelte direktivet kan du enten vælge en bestemt URL-adresse, alle domæner eller ingen.
Du kan finde oplysninger i Administration af webstedets sikkerhedspolitik for indhold: Konfigurer webstedets CSP.
Konfiguration af ressourcedeling på tværs af oprindelse (CORS)
Ressourcedeling på tværs af oprindelse (CORS) bruges af webbrowsere til at tillade eller begrænse webprogrammer, der kører i ét domæne, for at anmode om og få adgang til ressourcer fra et andet domæne.
Direktiver
Følgende direktiver understøttes.
| Direktiv | Beskrivelse | Værdier |
|---|---|---|
| Tillad adgang til ressourcer fra serveren | Kaldes også Adgangskontrol-Tillad-oprindelse for at hjælpe serveren med at bestemme, hvilke oprindelser der skal have adgang til dens ressourcer. Oprindelse kan være domæner, protokoller og porte. | Vælg URL-adresser til domæner |
| Send overskrifter under serveranmodninger | Også kendt som Access-Control-Allow-Headers, hjælper med at definere de overskrifter, der kan sendes i anmodninger fra en anden oprindelse for at få adgang til ressourcer på serveren. | Vælg bestemte overskrifter med følgende tilladelser Godkendelsesindhold Oprindelse Accept Godkendelse -typen |
| Vis overskriftsværdier i kode på klientsiden | Dette direktiv, der også kaldes Access-Control-Expose-Headers, giver den browser, hvor svarheadere skal vises og gøres tilgængelige for den anmodende klientkode i forespørgsler på tværs af oprindelser. | Vælg bestemte overskrifter med følgende tilladelser Godkendelsesindhold Oprindelse Accept Godkendelse -typen |
| Definer metoder til at få adgang til ressourcer | Også kendt som Access-Control-Allow-Methods, er med til at definere, hvilke HTTP-metoder der er tilladt, når der kan fås adgang til ressourcer på en server fra en anden oprindelse. | HENT - Anmoder om data fra en angivet ressource POST - Sender data, der skal behandles til en bestemt ressource PUT - Opdaterer eller erstatter en ressource på en bestemt URL-adresse HOVED -Det samme som HENT, men henter kun overskrifterne og ikke det faktiske indhold PATCH - Ændrer delvist en ressource INDSTILLINGER - Anmoder om oplysninger om de kommunikationsindstillinger, der er tilgængelige for en ressource eller server SLET - Sletter den angivne ressource |
| Angiv varighed for cachelagring af anmodningsresultater | Også kendt som Access-Control-Max-Age, er med til at definere varigheden, hvor resultaterne af en forhåndskontrolanmodning kan cachelagres af browseren. | Angiv varighed i sekunder |
| Tillad webstedet at dele legitimationsoplysninger | Kaldes også for Access-Control-Allow-Credentials, hjælper med at definere, om webstedet kan dele legitimationsoplysninger (som cookies, godkendelsesoverskrifter eller SSL-certifikater på klientsiden) under anmodninger på tværs af oprindelse. | Ja/Nej |
| Vis webside som en iFrame fra samme oprindelse | Også kendt som X-Frame-Options, tillader, at siden kun vises i en iframe, hvis anmodningen kommer fra samme oprindelse. | Ja/Nej |
| Bloker MIME-sniffing | Også kendt som X-Content-Type-Options: no-sniff, denne er med til at forhindre webbrowsere i at udføre MIME-type (indholdstype) snifning eller at gøre en ressources indholdstype ukendt. | Ja/Nej |
Konfigurer cookies (CSP)
Cookieheaderen i en HTTP-anmodning indeholder oplysninger om cookies, der tidligere er gemt af et websted i din browser. Når du besøger et websted, sender browseren en cookieoverskrift, der indeholder alle relevante cookies, som er knyttet til webstedet, tilbage til serveren.
Direktiver
Følgende direktiver understøttes.
| Direktiv | Beskrivelse | Header |
|---|---|---|
| Overførselsregler for alle cookies | Kontrol af, hvordan cookies sendes med forespørgsler på tværs af oprindelse. Det er en sikkerhedsfunktion, der har til formål at afhjælpe bestemte typer forfalskninger af anmodninger på tværs af websteder (CSRF) og angreb med oplysninger, der angreb på tværs af websteder. | Denne indstilling svarer til headeren SameSite/Default. |
| Overførselsregler for specifikke cookies | Kontrol af, hvordan cookies sendes med forespørgsler på tværs af oprindelse. Det er en sikkerhedsfunktion, der har til formål at afhjælpe bestemte typer forfalskninger af anmodninger på tværs af websteder (CSRF) og angreb med oplysninger, der angreb på tværs af websteder. | Denne indstilling svarer til headeren SameSite/Specific-cookie. |
Konfigurer Tilladelses-politik (CSP)
Permissions-Policy headeren gør det muligt for webudviklere at kontrollere, hvilke webplatformsfunktioner der er tilladte eller nægtet på en webside.
Direktiver
Følgende fremgangsmåder understøttes og styrer adgangen til deres respektive API'er.
- Accelerometer
- Ambient-Light-Sensor
- Automatisk afspilning
- Battery
- Kamera
- Skærm
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Betaling
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigurere flere HTTP Headers
Tillad sikker forbindelse via HTTPS
Den indstilling, der svarer til HTTP Strict-Transport-Security-headeren, fortæller browseren, at den kun skal oprette forbindelse til webstedet via HTTPS, også selvom brugeren skriver "http://" i adresselinjen. Den er med til at forhindre angreb af en man-in-the-middle ved at sikre, at al kommunikation med serveren krypteres og beskytter mod visse typer angreb, f.eks. angreb til nedgradering af protokoller og cookies.
Bemærk
Af sikkerhedshensyn kan denne indstilling ikke ændres.
Inkluder henvisningsoplysninger i HTTP Headere
HTTP-headeren til referencepolitik bruges til at styre, hvor mange oplysninger om anmodningens oprindelse (henvisende oplysninger) der vises i HTTP-overskrifterne, når en bruger navigerer fra en side til en anden. Denne header er med til at kontrollere aspekter af beskyttelse af personlige oplysninger og sikkerhed, der vedrører henvisende oplysninger.
| Værdi | Beskrivelse |
|---|---|
| Ingen henviser | Ingen henvisning betyder, at der ikke sendes nogen henvisningsoplysninger i overskrifterne. Denne indstilling er den indstilling, der giver flest muligheder for beskyttelse af personlige oplysninger. |
| Ingen henviser ved nedgradering | Den sender alle de henvisende oplysninger, når du navigerer fra en HTTPS til et HTTP-websted, men kun oprindelsen (ingen sti eller forespørgsel), når du navigerer mellem HTTPS-websteder. |
| Samme oprindelse – Henviser-politik | Den samme oprindelse sender kun alle oplysninger om den henvisende bruger, når anmodningen har samme oprindelse. I forbindelse med forespørgsler på tværs af oprindelse er det kun oprindelsen, der sendes. |
| Oprindelse | Oprindelse sender oprindelsen af den henvisende, men ingen sti- eller forespørgselsoplysninger, både med hensyn til forespørgsler af samme oprindelse og oprindelse. |
| Streng oprindelse | Svarer til oprindelse, men sender kun oplysninger om henviser for anmodninger om samme oprindelse. |
| Oprindelse ved tværgående oprindelse | Svarer til oprindelse, men sender kun oplysninger om henviser for anmodninger om samme oprindelse. |