Κοινή χρήση μέσω

Διαχείριση πολιτικής ασφάλειας περιεχομένου

  • Άρθρο

Σημείωση

Από τις 12 Οκτωβρίου 2022, οι πύλες του Power Apps είναι Power Pages. Περισσότερες πληροφορίες: Το Microsoft Power Pages είναι πλέον γενικά διαθέσιμο (ιστολόγιο)
Σύντομα θα μετεγκαταστήσουμε και θα συγχωνεύσουμε την τεκμηρίωση των πυλών Power Apps με την τεκμηρίωση Power Pages.

Η πολιτική ασφάλειας περιεχομένου (CSP) είναι ένα επιπλέον επίπεδο ασφάλειας που βοηθά στον εντοπισμό και την άμβλυνση ορισμένων τύπων επιθέσεων Web, όπως η κλοπή δεδομένων, η καταστροφή τοποθεσιών ή η διανομή κακόβουλου λογισμικού. Το CSP παρέχει ένα εκτεταμένο σύνολο οδηγιών πολιτικής που βοηθούν στον έλεγχο των πόρων τους οποίο επιτρέπεται να φορτώνει μια σελίδα τοποθεσίας. Κάθε οδηγία καθορίζει τους περιορισμούς για έναν συγκεκριμένο τύπο πόρου.

Όταν το CSP είναι ενεργοποιημένο για μια τοποθεσία Web πυλών, βοηθάει στη βελτίωση της ασφάλειας, εμποδίζοντας συνδέσεις, δέσμες ενεργειών, γραμματοσειρές και άλλους τύπους πόρων που προέρχονται από άγνωστες ή κακόβουλες πηγές. Το CSP είναι απενεργοποιημένο από προεπιλογή στις πύλες. Ωστόσο, πολλές τοποθεσίες Web ενδέχεται να απαιτούν CSP για να βελτιώσουν την ασφάλεια.

Για περισσότερες πληροφορίες σχετικά με το CSP, ανατρέξτε στην αναφορά πολιτικής ασφαλείας περιεχομένου.

Ρυθμίστε τις παραμέτρους CSP

  1. Είσοδος στο Power Apps.

  2. Βεβαιωθείτε ότι βρίσκεστε στο περιβάλλον όπου υπάρχει η πύλη σας.

  3. Στο αριστερό τμήμα παραθύρου περιήγησης, επιλέξτε Εφαρμογές και μετά επιλέξτε Διαχείριση πύλης.

    Η επιλογή του μενού Εφαρμογές για το Power Apps με επιλεγμένη την εφαρμογή Διαχείριση πυλών

  4. Στο αριστερό τμήμα παραθύρου επιλέξτε Ρυθμίσεις τοποθεσίας.

  5. Δημιουργήστε (ή ενημερώστε) τη ρύθμιση της τοποθεσίας HTTP/Content-Security-Policy και ορίστε τις απαιτούμενες τιμές που απαιτούνται από τη σελίδα αναφορά CSP, διαχωρισμένες με ελληνικό ερωτηματικό.

    Παράδειγμα

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Η επιλογή του μενού Ρυθμίσεις τοποθεσίας για το Power Apps.

Ενεργοποίηση μοναδικού αριθμού

Η ενεργοποίηση του μοναδικού αριθμού (αριθμός που χρησιμοποιήθηκε μία φορά) θα αποκλείσει την εκτέλεση όλων των ενσωματωμένων δεσμών ενεργειών, εκτός από εκείνες που καθορίζονται εντός της ενσωματωμένης δέσμης ενεργειών. Δημιουργείται ένας μοναδικός κρυπτογραφικός μοναδικός αριθμός και προστίθεται σε κάθε δέσμη ενεργειών που καθορίζεται στην κεφαλίδα CSP. Ο μοναδικός αριθμός στις πύλες υποστηρίζει ενσωματωμένες δέσμες ενεργειών και ενσωματωμένα πρόγραμμα χειρισμού συμβάντων μόνο. Για περισσότερες πληροφορίες σχετικά με τον μοναδικό αριθμό, ανατρέξτε στο θέμα Χρήση ενός μοναδικού αριθμού με το CSP.

Για να ενεργοποιήσετε τον Μοναδικό αριθμό στις πύλες, προσθέστε την τιμή script-src 'nonce'; στις ρυθμίσεις τοποθεσίας HTTP/Content-Security-Policy.

Παραδείγματα

Εάν θέλετε μια αυστηρή πολιτική και δεν θέλετε να επιτρέψετε τη φόρτωση δεσμών ενεργειών από προελεύσεις εκτός των πυλών χρησιμοποιήστε τα ακόλουθα:

script-src 'self' content.powerapps.com 'nonce'

Εάν θέλετε να φορτώνετε δέσμες ενεργειών από κάποια ασφαλή προέλευση χρησιμοποιήστε τα ακόλουθα:

script-src https: 'nonce'

Σημείωση

  • Το unsafe-eval θα εισαχθεί αυτόματα για υποστήριξη της αυτόματης αξιολόγησης του μη ασφαλούς κωδικού. Για να απενεργοποιήσετε την αυτόματη παρεμβολή unsafe-eval, ενημερώστε τη ρύθμιση τοποθεσίας HTTP/Content-Security-Policy/Inject-unsafe-eval σε false.
  • Εάν απενεργοποιηθεί η παρεμβολή unsafe-eval, επικύρωση πεδίων που δημιουργούνται αυτόματα σε βασικές ή σύνθετες φόρμες ενδέχεται να μην λειτουργεί πλέον σωστά.