Del via

Administrere dit websteds sikkerhedspolitik for indhold

  • Artikel

CSP (Content Security Policy) er et ekstra lag sikkerhed, der hjælper med at registrere og afhjælpe visse typer webangreb, f.eks. angreb af data, webstedsudbrud eller distribution af malware. CSP indeholder et omfattende sæt politikker, der hjælper med at styre de ressourcer, som en webstedsside må indlæse. I de enkelte direktivet defineres begrænsningerne for en bestemt ressourcetype.

Når CSP er slået til for et Power Pages-websted, er det med til at forbedre sikkerheden ved at blokere forbindelser, scripts, skrifttyper og andre typer ressourcer, der stammer fra ukendte eller ondsindede kilder.

CSP er aktiveret som standard. Websteder kan dog kræve, at CSP forbedrer anden sikkerhed.

Brug Portaladministration-appen til at administrere CSP.

Angiv CSP-adressen til dit websted

  1. Log på Power Pages, og åbn dit websted til redigering.

  2. Vælg Flere elementer (...) i venstre panel >Portalstyring.

  3. Vælg Indstillinger for websted i venstre rude i appen Portaladministration.

  4. Oprettelse eller redigering af indstillingen for HTTP/Content-Security-Policy.

  5. Angiv de værdier, du skal bruge fra CSP-referencen, adskilt af semikolon, f.eks. script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Slå nonce til

En nonce repræsenterer en kode, som regel numerisk, der kun er beregnet til brug én gang ("tal én gang"). Når du bruger en nonce med dit websteds CSP, oprettes der en entydig kryptografisk kode, som føjes til hvert script, der er angivet i CSP-headeren. Kun indbyggede scripts, der har en nonce-attribut, som svarer til attributten i CSP, må køre. Scripts, som en ondsindet angrebsenhed har adgang til siden, blokeres, fordi de ikke inkluderer attributten nonce. Få mere at vide om, hvordan du bruger nonce med CSP.

I Power Pages understøtter nonce kun indbyggede scripts og indbyggede hændelseshandlere.

Hvis du vil aktivere nonce på dit websted, skal du føje værdien i script-scr 'nonce'; til indstillingen for webstedet HTTP/Content-Security-Policy. Der følger et par eksempler.

  • Hvis du vil have en streng politik, der ikke tillader, at scripts indlæses fra kilder uden for et Power Pages-websted, skal du føje følgende værdi til indstillingen for HTTP/Content-Security-Policy websted: script-src 'self' content.powerapps.com 'nonce'

  • Hvis du vil indlæse scripts fra en sikker kilde, skal du tilføje følgende værdi: script-src https: 'nonce'

Når der slås nonce til, understøtter usikker-eval den automatiske evaluering af usikker kode. Hvis du vil deaktivere autoinjektion af usikker eval, skal du ændre webstedets indstilling HTTP/Content-Security-Policy/Inject-unsafe-eval til Falsk. Vær opmærksom på, at hvis en usikker eval-injektion er slået fra, fungerer valideringen af automatisk oprettede felter i grundlæggende eller formularer med flere trin måske ikke længere korrekt.