Erweiterte Einstellungen (Vorschauversion)
[Dieses Thema ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Über den Arbeitsbereich „Sicherheit“ können Sie Ihre Websiteinhalte und -daten direkt vom Power Pages Designstudio aus noch besser vor Sicherheitsbedrohungen schützen. Verwenden Sie erweiterte Einstellungen, um die HTTP-Header Ihrer Website schnell und effizient zu konfigurieren, eine Richtlinie für Inhaltssicherheit (CSP), Cross Origin Resource Sharing (CORS), Cookies, Berechtigungen und mehr zu konfigurieren.
Wichtig
- Dies ist eine Vorschauversion.
- Funktionen in der Vorschauversion sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Diese Funktionen stehen vor der offiziellen Veröffentlichung zur Verfügung, damit Kunden frühzeitig Zugriff erhalten und Feedback geben können.
- Melden Sie sich bei Power Pages an und öffnen Sie die Website zum Bearbeiten.
- Wählen Sie im linken Navigationsbereich Sicherheitsarbeitsbereich und dann Erweiterte Einstellungen (Vorschauversion) aus.
Richtlinie für Inhaltssicherheit (CSP) konfigurieren
Eine Richtlinie für Inhaltssicherheit (CSP) wird von Webservern verwendet, um eine Reihe von Sicherheitsregeln für eine Webseite durchzusetzen. Es hilft, Websites vor verschiedenen Arten von Sicherheitsangriffen wie Cross-Site-Scripting (XSS), Dateneinschleusungen und anderen Codeeinschleusungsangriffen zu schützen.
Direktiven
Folgende Direktiven werden unterstützt.
| Direktive | Beschreibung |
|---|---|
| Standardquelle | Gibt die Standardquelle für Inhalte an, die nicht explizit durch andere Direktiven festgelegt sind. Sie fungiert als Fallback für andere Direktiven. |
| Bildquelle | Gibt gültige Quellen für Bilder an. Steuert, aus welchen Domänen Bilder geladen werden können. |
| Schriftartenquelle | Gibt gültige Quellen für Schriftarten an. Wird verwendet, um zu steuern, aus welchen Domänen Webfonts geladen werden können. |
| Skriptquelle | Gibt gültige Quellen für JavaScript-Code an. Die Skriptquelle kann bestimmte Domänen enthalten: „self“ für denselben Ursprung, „unsafe-inline“ für Inline-Skripte und „nonce-xyz“ für Skripte mit einem bestimmten Nonce. Wählen Sie, ob Nonce aktiviert oder eine unsichere Auswertung eingefügt werden soll. Weitere Informationen finden Sie unter Die Richtlinie für Inhaltssicherheit Ihrer Website verwalten: Nonce einschalten |
| Stilquelle | Gibt gültige Quellen für Stylesheets an. Ähnlich wie script-src kann es Domänen, „self“, „unsafe-inline“ und „nonce-xyz“ enthalten. |
| Verbindungsquelle | Gibt gültige Quellen für XMLHttpRequest, WebSocket oder EventSource an. Steuert die Domänen, an welche die Seite Netzwerkanforderungen stellen kann. |
| Medienquelle | Gibt gültige Quellen für Audio und Video an. Wird verwendet, um zu steuern, aus welchen Domänen Medienressourcen geladen werden können. |
| Framequelle | Gibt gültige Quellen für Frames an. Steuert, aus welchen Domänen die Seite Frames einbetten kann. |
| Frame-Vorgänger | Gibt gültige Quellen an, welche die aktuelle Seite als Frame einbetten können. Steuert, welche Domänen die Seite einbetten dürfen. |
| Von Aktion | Gibt gültige Quellen für Formularübermittlungen an. Legt die Domänen fest, an die Formulardaten gesendet werden können. |
| Objektquelle | Gibt gültige Quellen für die Ressourcen des Objektelements an, beispielsweise Flash-Dateien oder andere eingebettete Objekte. Sie hilft, zu steuern, aus welchen Ursprüngen diese Objekte geladen werden können. |
| Workerquelle | Gibt gültige Quellen für Web-Worker an, einschließlich dedizierter Worker, gemeinsam genutzter Worker und Service-Worker. Sie hilft, zu steuern, aus welchen Ursprüngen diese Worker-Skripte geladen und ausgeführt werden können. |
| Manifestquelle | Gibt gültige Quellen für Web-Worker an, einschließlich dedizierter Worker, gemeinsam genutzter Worker und Service-Worker. Sie hilft, zu steuern, aus welchen Ursprüngen diese Worker-Skripte geladen und ausgeführt werden können. |
| Untergeordnete Quelle | Gibt gültige Quellen für Web-Worker an, einschließlich dedizierter Worker, gemeinsam genutzter Worker und Service-Worker. Sie hilft, zu steuern, aus welchen Ursprüngen diese Worker-Skripte geladen und ausgeführt werden können. |
Sie können für jede Direktive entweder eine bestimmte URL, alle Domänen oder keine auswählen.
Informationen zur erweiterten Konfiguration finden Sie unter Die Richtlinie für Inhaltssicherheit Ihrer Website verwalten: Die CSP Ihrer Website einrichten.
Cross-Origin Resource Sharing (CORS) konfigurieren
Die Cross-Origin Resource Sharing (CORS) wird von Webbrowsern verwendet, um Webanwendungen, die in einer Domäne ausgeführt werden, die Anforderung und Verwendung von Ressourcen aus einer anderen Domäne zu erlauben bzw. dies einzuschränken.
Direktiven
Folgende Direktiven werden unterstützt.
| Direktive | Beschreibung | Wert(e) |
|---|---|---|
| Zugriff auf Ressourcen über den Server zulassen | Wird auch als Access-Control-Allow-Origin bezeichnet. Hilft dem Server bei der Entscheidung, welche Ursprünge auf seine Ressourcen zugreifen dürfen. Ursprünge können Domänen, Protokolle und Ports sein. | Domänen-URLs auswählen |
| Header bei Serveranforderungen senden | Die auch als „Access-Control-Allow-Headers“ bekannten Header helfen dabei, die Header zu bestimmen, die in Anforderungen von einem anderen Ursprung gesendet werden können, um auf Ressourcen auf dem Server zuzugreifen. | Bestimmte Header mit folgenden Berechtigungen Ursprung Akzeptieren Autorisierung Inhalt – Typ auswählen |
| Header-Werte im clientseitigen Code verfügbar machen | Diese Direktive, die auch als „Access-Control-Expose-Headers“ bezeichnet wird, weist den Browser an, welche Antwortheader bei Cross-Origin-Anfragen angezeigt und dem anfordernden clientseitigen Code zugänglich gemacht werden sollen. | Bestimmte Header mit folgenden Berechtigungen Ursprung Akzeptieren Autorisierung Inhalt – Typ auswählen |
| Methoden für den Zugriff auf Ressourcen definieren | Über die auch als „Access-Control-Allow-Methods“ bezeichnete Methode können HTTP-Methoden festgelegt werden, die beim Zugriff auf Ressourcen auf einem Server von einem anderen Ursprung zulässig sind. | GET – fordert Daten von einer angegebenen Ressource an POST – sendet zu verarbeitende Daten an eine angegebene Ressource PUT – aktualisiert oder ersetzt eine Ressource unter einer bestimmten URL HEAD – wie GET, ruft jedoch nur die Header und nicht den eigentlichen Inhalt ab PATCH – ändert eine Ressource teilweise OPTIONS – fordert Informationen zu den für eine Ressource oder einen Server verfügbaren Kommunikationsoptionen an DELETE – löscht die angegebene Ressource |
| Dauer für das Zwischenspeichern von Anforderungsergebnissen festlegen | Über diese auch als „Access-Control-Max-Age“ bekannte Einstellung kann die Dauer festgelegt werden, für die die Ergebnisse einer Preflight-Anforderung vom Browser zwischengespeichert werden können. | Dauer als Zeit (Sekunden) angeben |
| Der Website die Freigabe von Anmeldeinformationen erlauben | Auch bekannt als „Access-Control-Allow-Credentials“ hilft diese Einstellung dabei zu bestimmen ob die Website Anmeldeinformationen wie Cookies, Autorisierungs-Header oder clientseitige SSL-Zertifikate bei websiteübergreifenden Anforderungen freigeben kann. | Ja/Nein |
| Webseite als iFrame vom selben Ursprung anzeigen | Mit dieser auch als „X-Frame-Options“ bezeichneten Option kann die Seite nur dann in einem Iframe angezeigt werden, wenn die Anforderung vom selben Ursprung stammt. | Ja/Nein |
| MIME-Sniffing blockieren | Diese auch als „X-Content-Type-Options: no-sniff“ bekannte Option verhindert, dass Webbrowser MIME-Typ-Sniffing (Inhaltstyp) durchführen oder den Inhaltstyp einer Ressource erraten. | Ja/Nein |
Cookies konfigurieren (CSP)
Der Cookie-Header in einer HTTP-Anforderung enthält Informationen zu Cookies, die zuvor von einer Website in Ihrem Browser gespeichert wurden. Wenn Sie eine Website besuchen, sendet Ihr Browser einen Cookie-Header mit allen relevanten, mit dieser Website verknüpften Cookies zurück an den Server.
Direktiven
Folgende Direktiven werden unterstützt.
| Direktive | Beschreibung | Kopfzeile |
|---|---|---|
| Übertragungsregeln für alle Cookies | Steuern Sie, wie Cookies bei Cross-Origin-Anfragen gesendet werden. Es handelt sich um ein Sicherheitsfeature, das bestimmte Arten von Angriffen durch websiteübergreifende Anforderungsfälschung (CSRF) und Informationslecks abschwächen soll. | Diese Einstellung entspricht dem Header SameSite/Default. |
| Übertragungsregeln für bestimmte Cookies | Steuern Sie, wie Cookies bei Cross-Origin-Anfragen gesendet werden. Es handelt sich um ein Sicherheitsfeature, das bestimmte Arten von Angriffen durch websiteübergreifende Anforderungsfälschung (CSRF) und Informationslecks abschwächen soll. | Diese Einstellung entspricht dem Header ameSite/Specific-Cookie. |
Permissions-Policy (CSP) konfigurieren
Mit dem Permissions-Policy-Header können Webentwickler steuern, welche Webplattformfunktionen auf einer Webseite zugelassen oder verweigert werden.
Direktiven
Die folgenden Direktiven werden unterstützt und steuern den Zugriff auf ihre jeweiligen APIs.
- Accelerometer
- Ambient-Light-Sensor
- Automatische Wiedergabe
- Battery
- Kamera
- Anzeigen
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Zahlung
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Weitere HTTP-Header konfigurieren
Sichere Verbindung über HTTPS zulassen
Die Einstellung für den HTTP Strict-Transport-Security-Header informiert den Browser darüber, dass er sich nur über HTTPS mit der Website verbinden soll, auch wenn Benutzende „http://“ in der Adressleiste eingeben. Dies trägt dazu bei, Man-In-The-Middle-Angriffe zu verhindern, indem es sicherstellt, dass die gesamte Kommunikation mit dem Server verschlüsselt ist, und schützt vor bestimmten Arten von Angriffen, wie etwa Protokoll-Downgrade-Angriffen und Cookie-Hijacking.
Anmerkung
Aus Sicherheitsgründen kann diese Einstellung nicht geändert werden.
Referrer-Informationen in HTTP-Headern einbeziehen
Der Referrer-Policy-HTTP-Header wird verwendet, um zu steuern, wie viele Informationen über den Ursprung der Anforderung (Referrer-Informationen) in den HTTP-Headern offengelegt werden, wenn Benutzende von einer Seite zu einer anderen navigieren. Dieser Header hilft bei der Kontrolle der Datenschutz- und Sicherheitsaspekte im Zusammenhang mit Referrer-Informationen.
| Wert | Beschreibung |
|---|---|
| Kein Referrer | No-Referrer bedeutet, dass in den Headern keine Referrer-Informationen gesendet werden. Diese Einstellung ist die Option mit dem strengsten Datenschutz. |
| Kein Referrer bei Downgrade | Sie sendet beim Navigieren von einer HTTPS- zu einer HTTP-Website die vollständigen Referrer-Informationen, jedoch nur den Ursprung (nicht Pfad oder Abfrage) beim Navigieren zwischen HTTPS-Websites. |
| Same-Origin-Referrer-Richtlinie | Same-Origin sendet die vollständigen Referrer-Informationen nur, wenn die Anforderung an denselben Ursprung geht. Bei Cross-Origin-Anfragen wird nur der Ursprung gesendet. |
| Ursprung | Ursprung sendet den Ursprung des Referrers, jedoch keine Pfad- oder Abfrageinformationen und zwar weder für Same-Origin- noch für Cross-Origin-Anfragen. |
| Nur Ursprung | Ähnlich wie Ursprung, sendet aber nur Referrerinformationen für Anforderungen gleichen Ursprungs. |
| Ursprung bei ursprungsübergreifend | Ähnlich wie Ursprung, sendet aber nur Referrerinformationen für Anforderungen gleichen Ursprungs. |