Freigeben über

Richtlinie für Inhaltssicherheit Ihrer Website

  • Artikel

Richtlinie für Inhaltssicherheit (CSP) ist eine zusätzliche Sicherheitsebene, die dabei hilft, einige Arten von Webangriffen, wie Datendiebstahl, Unkenntlichmachung von Websites oder die Verbreitung von Malware, zu erkennen und abzuwehren. Die CSP bietet einen umfangreichen Satz von Richtliniendirektiven, mit denen die Ressourcen gesteuert werden können, welche die Seite einer Website laden darf. Jede Direktive legt die Einschränkungen für einen bestimmten Ressourcentyp fest.

Wenn die CSP für eine Power Pages Website aktiviert ist, trägt sie zur Verbesserung der Sicherheit bei, indem Verbindungen, Skripte, Schriftarten und andere Arten von Ressourcen blockiert werden, die aus unbekannten oder böswilligen Quellen stammen.

CSP ist standardmäßig deaktiviert. Allerdings benötigen Websites möglicherweise CSP, um andere Sicherheitsmaßnahmen zu verbessern.

Verwenden Sie die Portalverwaltungs-App, um CSP zu verwalten.

Geben Sie die CSP Ihrer Website ein

  1. Melden Sie sich bei Power Pages an, und öffnen Sie die Website zum Bearbeiten.

  2. Wählen Sie in der Portalverwaltung-App im linken Bereich Weitere Elemente (...) >Portalverwaltung aus.

  3. In der App Portalverwaltung wählen Sie im linken Bereich Website-Einstellungen aus.

  4. Erstellen oder bearbeiten Sie die HTTP/Richtlinie für Inhaltssicherheit Website-Einstellung.

  5. Legen Sie die von Ihnen benötigten Werte aus der CSP-Referenz fest, durch Semikolon getrennt; zum Beispiel script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Nonce aktivieren

Ein Nonce stellt einen Code dar, normalerweise numerisch, der nur einmal verwendet werden soll („einmalige Zahl“). Wenn Sie eine Nonce mit der CSP Ihrer Website verwenden, wird eine eindeutige kryptografische Nonce generiert und jedem im CSP-Header angegebenen Skript hinzugefügt. Es dürfen nur Inline-Skripte ausgeführt werden, deren Nonce-Attribut mit dem im CSP übereinstimmt. Skripte, die ein Angreifer möglicherweise in die Seite eingeschleust hat, werden blockiert, da sie das Nonce-Attribut nicht enthalten. Weitere Informationen zur Verwendung einer Nonce mit CSP.

In Power Pages Websites unterstützen Nonce nur Inline-Skripte und Inline-Ereignis-Handler.

Um die Nonce für Ihre Website zu aktivieren, fügen Sie den Wert script-src 'nonce'; den Website-Einstellungen HTTP/Richtlinie für Inhaltssicherheit hinzu. Es folgen einige Beispiele.

  • Wenn Sie eine strenge Richtlinie wünschen, die das Laden von Skripten aus Quellen außerhalb von einer Power Pages nicht zulässt, fügen Sie der Site den folgenden Wert hinzu HTTP/Richtlinie für Inhaltssicherheit Website-Einstellung: script-src 'self' content.powerapps.com 'nonce'

  • Wenn Sie Skripte aus einer sicheren Quelle laden möchten, fügen Sie den folgenden Wert hinzu: script-src https: 'nonce'

Wenn Nonce aktiviert ist, wird unsafe-eval eingefügt, um die automatische Auswertung von unsicherem Code zu unterstützen. Um die automatische Injektion von unsafe-eval zu deaktivieren, ändern Sie die Website-Einstellung HTTP/Richtlinie für Inhaltssicherheit/Inject-unsafe-eval auf False. Denken Sie daran, wenn unsafe-eval-Injektion deaktiviert ist, ist die Validierung automatisch generierter Felder von Basic oder mehrstufigen Formularen möglicherweise nicht mehr korrekt.