Ρυθμίσεις για προχωρημένους (έκδοση προεπισκόπησης)
[Αυτό το θέμα αποτελεί τεκμηρίωση προέκδοσης και υπόκειται σε αλλαγές.]
Ο χώρος εργασίας ασφαλείας σάς επιτρέπει να προστατεύσετε περαιτέρω το περιεχόμενο και τα δεδομένα της τοποθεσίας σας από απειλές ασφαλείας, απευθείας από το στούντιο σχεδίασης Power Pages. Χρησιμοποιήστε τις ρυθμίσεις για προχωρημένους για να ρυθμίσετε τις παραμέτρους των κεφαλίδων HTTP της τοποθεσίας σας γρήγορα και αποτελεσματικά, να ρυθμίσετε τις παραμέτρους της Πολιτικής ασφάλειας περιεχομένου (CSP), την κοινή χρήση πόρων μεταξύ προελεύσεων (CORS), τα cookies, τα δικαιώματα και άλλα.
Σημαντικό
- Αυτή είναι μια δυνατότητα προεπισκόπησης.
- Οι λειτουργίες προεπισκόπησης δεν προορίζονται για παραγωγική χρήση και ενδέχεται να έχουν περιορισμένη λειτουργικότητα. Αυτές οι δυνατότητες είναι διαθέσιμες πριν από μια επίσημη κυκλοφορία έτσι ώστε οι πελάτες να έχουν πρόσβαση από νωρίς και να κάνουν σχόλια.
- Πραγματοποιήστε είσοδο στο Power Pages και ανοίξτε την τοποθεσία σας για επεξεργασία.
- Επιλέξτε το Χώρος εργασίας ασφαλείας από την αριστερή περιήγηση και, στη συνέχεια, επιλέξτε Ρυθμίσεις για προχωρημένους (έκδοση προεπισκόπησης).
Ρύθμιση παραμέτρων πολιτικής ασφάλειας περιεχομένου (CSP)
Η Πολιτική ασφάλειας περιεχομένου (CSP) χρησιμοποιείται από διακομιστές web για την εφαρμογή ενός συνόλου κανόνων ασφαλείας σε μια ιστοσελίδα. Βοηθά στην προστασία των τοποθεσιών από διάφορους τύπους επιθέσεων ασφαλείας, όπως δέσμες ενεργειών μεταξύ τοποθεσιών (XSS), μεθόδους ανάκτησης δεδομένων και άλλες επιθέσεις ανάκτησης κώδικα.
Οδηγίες
Υποστηρίζονται οι παρακάτω οδηγίες.
| Οδηγία | Περιγραφή |
|---|---|
| Προεπιλεγμένη προέλευση | Προσδιορίζει την προεπιλεγμένη προέλευση για περιεχόμενο που δεν ορίζεται ρητά από άλλες οδηγίες. Λειτουργεί ως εναλλακτική για άλλες οδηγίες. |
| Προέλευση εικόνας | Προσδιορίζει έγκυρες προελεύσεις για εικόνες. Ελέγχει τους τομείς στους οποίους μπορούν να φορτωθούν οι εικόνες. |
| Προέλευση γραμματοσειράς | Προσδιορίζει έγκυρες προελεύσεις για γραμματοσειρές. Χρησιμοποιείται για τον έλεγχο των τομέων από τους οποίους είναι δυνατή η φόρτωση γραμματοσειρών web. |
| Προέλευση δέσμης ενεργειών | Προσδιορίζει έγκυρες προελεύσεις για κώδικα JavaScript. Η προέλευση των δεσμών ενεργειών μπορεί να περιλαμβάνει συγκεκριμένους τομείς, το "self" για την ίδια προέλευση, το "unsafe-inline" για ενσωματωμένες δέσμες ενεργειών και το "nonce-xyz" για δέσμες ενεργειών με συγκεκριμένο nonce. Επιλέξτε να ενεργοποιήσετε το nonce ή το inject unsafe eval. Μάθετε περισσότερα στην ενότητα Διαχειριστείτε την πολιτική ασφάλειας περιεχομένου της τοποθεσίας σας: Ενεργοποίηση nonce |
| Προέλευση στυλ | Προσδιορίζει έγκυρες προελεύσεις για φύλλα στυλ. Όπως και το script-src, μπορεί να περιλαμβάνει τομείς, "self", "unsafe-inline" και "nonce-xyz". |
| Σύνδεση προέλευσης | Προσδιορίζει έγκυρες προελεύσεις για τα XMLHttpRequest, WebScoret ή EventSource. Ελέγχει τους τομείς στους οποίους η σελίδα μπορεί να κάνει αιτήσεις δικτύου. |
| Προέλευση μέσων | Προσδιορίζει έγκυρες προελεύσεις για ήχο και βίντεο. Χρησιμοποιείται για τον έλεγχο των τομέων από τους οποίους είναι δυνατή η φόρτωση πόρων μέσων. |
| Προέλευση πλαισίου | Προσδιορίζει έγκυρες προελεύσεις για πλαίσια. Ελέγχει τους τομείς από τους οποίους μπορεί να ενσωματώσει πλαίσια η σελίδα. |
| Frame Ancestors | Προσδιορίζει έγκυρες προελεύσεις που μπορούν να ενσωματώσουν την τρέχουσα σελίδα ως πλαίσιο. Ελέγχει ποιοι τομείς επιτρέπεται να ενσωματώσουν τη σελίδα. |
| Ενέργεια φόρμας | Προσδιορίζει τις έγκυρες προελεύσεις για τις υποβολές φορμών. Καθορίζει τους τομείς στους οποίους είναι δυνατό να αποσταλούν τα δεδομένα φόρμας. |
| Προέλευση αντικειμένου | Καθορίζει έγκυρες προελεύσεις για τους πόρους του στοιχείου αντικειμένου, όπως αρχεία Flash ή άλλα ενσωματωμένα αντικείμενα. Βοηθά στον έλεγχο της προέλευσης από την οποία είναι δυνατή η φόρτωση αυτών των αντικειμένων. |
| Προέλευση εργαζόμενου | Προσδιορίζει έγκυρες προελεύσεις για εργαζόμενους web, συμπεριλαμβανομένων ειδικών εργαζομένων, κοινόχρηστων εργαζομένων και εργαζομένων εξυπηρέτησης. Βοηθά στον έλεγχο της προέλευσης από την οποία είναι δυνατή η φόρτωση και η εκτέλεση δεσμών ενεργειών εργαζόμενων. |
| Προέλευση διακήρυξης | Προσδιορίζει έγκυρες προελεύσεις για εργαζόμενους web, συμπεριλαμβανομένων ειδικών εργαζομένων, κοινόχρηστων εργαζομένων και εργαζομένων εξυπηρέτησης. Βοηθά στον έλεγχο της προέλευσης από την οποία είναι δυνατή η φόρτωση και η εκτέλεση δεσμών ενεργειών εργαζόμενων. |
| Θυγατρική προέλευση | Προσδιορίζει έγκυρες προελεύσεις για εργαζόμενους web, συμπεριλαμβανομένων ειδικών εργαζομένων, κοινόχρηστων εργαζομένων και εργαζομένων εξυπηρέτησης. Βοηθά στον έλεγχο της προέλευσης από την οποία είναι δυνατή η φόρτωση και η εκτέλεση δεσμών ενεργειών εργαζόμενων. |
Για κάθε οδηγία, μπορείτε να επιλέξετε συγκεκριμένη διεύθυνση URL, όλους τους τομείς ή κανένα.
Για ρυθμίσεις παραμέτρων για προχωρημένους δείτε Διαχείριση της πολιτικής ασφάλειας περιεχομένου της τοποθεσίας σας: Ορίστε το CSP της τοποθεσίας σας.
Ρύθμιση παραμέτρων κοινής χρήσης πόρων μεταξύ προελεύσεων (CORS)
Η κοινή χρήση πόρων μεταξύ προελεύσεων (CORS), χρησιμοποιείται από τα προγράμματα περιήγησης web για να επιτρέπει ή να περιορίζει τις εφαρμογές web που εκτελούνται σε έναν τομέα να ζητούν και να έχουν πρόσβαση σε πόρους από άλλον τομέα.
Οδηγίες
Υποστηρίζονται οι παρακάτω οδηγίες.
| Οδηγία | Περιγραφή | Τιμή(ές) |
|---|---|---|
| Να επιτρέπεται η πρόσβαση σε πόρους από τον διακομιστή | Γνωστό επίσης και ως Access-Control-Allow-Origin, βοηθά τον διακομιστή να αποφασίσει ποια προέλευση επιτρέπεται να έχει πρόσβαση στους πόρους του. Η προέλευση μπορεί να είναι τομείς, πρωτόκολλα και θύρες. | Επιλογή διευθύνσεων URL τομέα |
| Αποστολή κεφαλίδων κατά τη διάρκεια αιτήσεων διακομιστή | Επίσης γνωστό ως Access-Control-Allow-Headers, βοηθά στον καθορισμό των κεφαλίδων που μπορούν να σταλούν σε αιτήσεις από διαφορετική προέλευση για πρόσβαση σε πόρους του διακομιστή. | Επιλογή συγκεκριμένων κεφαλίδων με τα παρακάτω δικαιώματα Προέλευση Αποδοχή Εξουσιοδότηση Τύπος περιεχομένου |
| Έκθεση τιμών κεφαλίδας κώδικα προγράμματος-πελάτη | Γνωστή επίσης και ως "Access-Control-Expose-Headers", αυτή η οδηγία δίνει οδηγίες στο πρόγραμμα περιήγησης για τις κεφαλίδες απόκρισης που πρέπει να εκτίθενται και να γίνονται προσβάσιμες στον κώδικα του υπολογιστή-πελάτη που ζητείται στις αιτήσεις μεταξύ προελεύσεων. | Επιλογή συγκεκριμένων κεφαλίδων με τα παρακάτω δικαιώματα Προέλευση Αποδοχή Εξουσιοδότηση Τύπος περιεχομένου |
| Καθορισμός μεθόδων για πρόσβαση σε πόρους | Γνωστή και ως Access-Control-Allow-Methods, βοηθά στον καθορισμό των μεθόδων HTTP που επιτρέπονται κατά την πρόσβαση σε πόρους ενός διακομιστή από διαφορετική προέλευση. | GET - Αιτήσεις για δεδομένα από καθορισμένο πόρο POST - Υποβάλλει δεδομένα προς επεξεργασία σε καθορισμένο πόρο PUT - Ενημερώνει ή αντικαθιστά έναν πόρο σε συγκεκριμένη διεύθυνση URL HEAD - Ίδιο με το GET αλλά ανακτά μόνο τις κεφαλίδες και όχι το πραγματικό περιεχόμενο PATCH - Τροποποιεί εν μέρει έναν πόρο OPTIONS - Ζητά πληροφορίες για τις επιλογές επικοινωνίας που είναι διαθέσιμες για έναν πόρο ή έναν διακομιστή DELETE - Διαγράφει τον καθορισμένο πόρο |
| Καθορισμός διάρκειας για την προσωρινή αποθήκευση αποτελεσμάτων αίτησης | Γνωστή και ως Access-Control-Max-Age, βοηθά στον καθορισμό της διάρκειας για την οποία τα προκαταρτικά αποτελέσματα της αίτησης μπορούν να αποθηκευτούν στην προσωρινή μνήμη cache του προγράμματος περιήγησης. | Καθορισμός διάρκειας σε ώρες (δευτερόλεπτα) |
| Να επιτρέπεται στην τοποθεσία να κοινοποιεί διαπιστευτήρια | Γνωστή και ως Access-Control-Allow-Credentials, βοηθά στον καθορισμό του εάν η τοποθεσία web μπορεί να μοιράζεται διαπιστευτήρια όπως cookie, κεφαλίδες ελέγχου ταυτότητας ή πιστοποιητικά SSL από την πλευρά του πελάτη κατά τη διάρκεια διατοποθεσιακών αιτήσεων. | Ναι/Όχι |
| Εμφάνιση τοποθεσίας web ως iFrame από την ίδια προέλευση | Επίσης γνωστό ως X-Frame-Options, επιτρέπει την εμφάνιση της σελίδας σε ένα iframe μόνο εάν η αίτηση προέρχεται από την ίδια προέλευση. | Ναι/Όχι |
| Αποκλεισμός παρακολούθησης MIME | Επίσης γνωστό ως X-Content-Type-Options: no-sniff, αυτό βοηθά στην αποτροπή της εκτέλεσης του τύπου MIME (τύπου περιεχομένου) από τα προγράμματα περιήγησης web ή την ανίχνευση του τύπου περιεχομένου ενός πόρου. | Ναι/Όχι |
Ρύθμιση παραμέτρων των cookies (CSP)
Η κεφαλίδα Cookie σε μια αίτηση HTTP περιέχει πληροφορίες σχετικά με cookie που είχαν αποθηκευτεί προηγουμένως από μια τοποθεσία Web στο πρόγραμμα περιήγησής σας. Όταν επισκέπτεστε μια τοποθεσία Web, το πρόγραμμα περιήγησής σας στέλνει στο διακομιστή μια κεφαλίδα Cookie που περιέχει όλα τα σχετικά cookies που σχετίζονται με αυτήν την τοποθεσία.
Οδηγίες
Υποστηρίζονται οι παρακάτω οδηγίες.
| Οδηγία | Περιγραφή | Κεφαλίδα |
|---|---|---|
| Κανόνες μεταφοράς για όλα τα cookies | Ελέγξτε τον τρόπο αποστολής cookie με αιτήσεις μεταξύ προελεύσεων. Πρόκειται για μια δυνατότητα ασφαλείας που έχει ως στόχο την άμβλυνση ορισμένων τύπων πλαστής διατοποθεσιακής αίτησης (CSRF) και τις επίθεσηςδιαρροής πληροφοριών. | Αυτή η ρύθμιση αντιστοιχεί στην κεφαλίδα SameSite/Default. |
| Κανόνες μεταφοράς για συγκεκριμένα cookies | Ελέγξτε τον τρόπο αποστολής cookie με αιτήσεις μεταξύ προελεύσεων. Πρόκειται για μια δυνατότητα ασφαλείας που έχει ως στόχο την άμβλυνση ορισμένων τύπων πλαστής διατοποθεσιακής αίτησης (CSRF) και τις επίθεσηςδιαρροής πληροφοριών. | Αυτή η ρύθμιση αντιστοιχεί στην κεφαλίδα SameSite/Specific cookie. |
Ρύθμιση πολιτικής δικαιωμάτων (CSP)
Η κεφαλίδα "Δικαιώματα-Πολιτική" επιτρέπει σε προγραμματιστές web να ελέγχουν ποιες δυνατότητες πλατφόρμας Web επιτρέπονται ή απορρίπτονται σε μια ιστοσελίδα.
Οδηγίες
Οι παρακάτω οδηγίες υποστηρίζονται και ελέγχουν την πρόσβαση στα αντίστοιχα API.
- Accelerometer
- Ambient-Light-Sensor
- Αυτόματη αναπαραγωγή
- Battery
- Κάμερα
- Εμφάνιση
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Μικρόφωνο
- Midi
- Otp-Credentials
- Πληρωμή
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Διαμορφώστε περισσότερες κεφαλίδες HTTP
Να επιτρέπεται η ασφαλής σύνδεση μέσω HTTPS
Η ρύθμιση που αντιστοιχεί στην κεφαλίδα HTTP Strict-Transport-Security ενημερώνει το πρόγραμμα περιήγησης ότι πρέπει να συνδεθεί μόνο στην τοποθεσία Web μέσω HTTPS, ακόμα και αν ο χρήστης εισαγάγει το μήνυμα "http://" στη γραμμή διευθύνσεων. Συμβάλλουν στην αποτροπή των man-in-the-middle επιθέσεων, διασφαλίζοντας ότι η επικοινωνία με το διακομιστή είναι κρυπτογραφημένη και προστατεύει από συγκεκριμένους τύπους επιθέσεων, όπως οι επιθέσεις υποβιβασμού πρωτοκόλλου και η κλοπή cookie.
Σημείωμα
Για λόγους ασφαλείας, αυτή η ρύθμιση δεν μπορεί να τροποποιηθεί.
Συμπερίληψη πληροφοριών σημείου αναφοράς στις κεφαλίδες HTTP
Η κεφαλίδα HTTP Σημείο αναφοράς πολιτικής χρησιμοποιείται για τον έλεγχο του αριθμού των πληροφοριών σχετικά με την προέλευση της αίτησης (πληροφορίες σημείου αναφοράς) που κοινοποιούνται στις κεφαλίδες HTTP όταν ένας χρήστης μεταβαίνει από τη μία σελίδα στην άλλη. Αυτή η κεφαλίδα βοηθάει στον έλεγχο των πτυχών της προστασίας προσωπικών δεδομένων και της ασφάλειας που σχετίζονται με τις πληροφορίες σημείου αναφοράς.
| Τιμή | Περιγραφή |
|---|---|
| Χωρίς σημείο αναφοράς | Κανένα σημείο αναφοράς σημαίνει ότι δεν αποστέλλονται πληροφορίες σημείου αναφοράς στις κεφαλίδες. Αυτή η ρύθμιση είναι η πιο σημαντική επιλογή για την προστασία προσωπικών δεδομένων. |
| Χωρίς σημείο αναφοράς κατά την υποβάθμιση | Στέλνει τις πλήρεις πληροφορίες σημείου αναφοράς κατά την περιήγηση από ένα HTTPS σε μια τοποθεσία HTTP αλλά μόνο την προέλευση (καμία διαδρομή ή ερώτημα) κατά την περιήγηση μεταξύ τοποθεσιών HTTPS. |
| Ίδια προέλευση - Πολιτική σημείου αναφοράς | Η ίδια προέλευση αποστέλλει τις πλήρεις πληροφορίες σημείου αναφοράς μόνο όταν η αίτηση έχει την ίδια προέλευση. Για αιτήσεις μεταξύ προελεύσεων, αποστέλλεται μόνο η προέλευση. |
| Προέλευση | Η προέλευση αποστέλλει την προέλευση του σημείου αναφοράς, αλλά δεν υπάρχουν πληροφορίες διαδρομής ή ερωτήματος, τόσο για αιτήσεις ίδιας προέλευσης όσο και για αιτήσεις μεταξύ προελεύσεων. |
| Αυστηρή προέλευση | Παρόμοιο με την προέλευση, αλλά αποστέλλει μόνο πληροφορίες σημείου αναφοράς για αιτήσεις της ίδιας προέλευσης. |
| Προέλευση μεταξύ προελεύσεων | Παρόμοιο με την προέλευση, αλλά αποστέλλει μόνο πληροφορίες σημείου αναφοράς για αιτήσεις της ίδιας προέλευσης. |