Κοινή χρήση μέσω

Διαχείριση πολιτικής ασφάλειας περιεχομένου της τοποθεσίας σας

  • Άρθρο

Η πολιτική ασφάλειας περιεχομένου (CSP) είναι ένα επιπλέον επίπεδο ασφάλειας που βοηθά στον εντοπισμό και την άμβλυνση ορισμένων τύπων επιθέσεων Web, όπως η κλοπή δεδομένων, η καταστροφή τοποθεσιών ή η διανομή κακόβουλου λογισμικού. Το CSP παρέχει ένα εκτεταμένο σύνολο οδηγιών πολιτικής που βοηθούν στον έλεγχο των πόρων τους οποίο επιτρέπεται να φορτώνει μια σελίδα τοποθεσίας. Κάθε οδηγία καθορίζει τους περιορισμούς για έναν συγκεκριμένο τύπο πόρου.

Όταν το CSP είναι ενεργοποιημένο για μια τοποθεσία Power Pages, συμβάλλει στο να γίνει η τοποθεσία πιο ασφαλής, εμποδίζοντας συνδέσεις, δέσμες ενεργειών, γραμματοσειρές και άλλους τύπους πόρων που προέρχονται από άγνωστες ή κακόβουλες πηγές.

Το CSP είναι απενεργοποιημένο από προεπιλογή. Ωστόσο, οι τοποθεσίες Web ενδέχεται να απαιτούν CSP για να βελτιώσουν την ασφάλεια.

Χρησιμοποιήστε την εφαρμογή Διαχείριση Πύλης για να διαχειριστείτε το CSP.

Ορίστε τον CSP της τοποθεσίας σας

  1. Πραγματοποιήστε είσοδο στο Power Pages και ανοίξτε την τοποθεσία σας για επεξεργασία.

  2. Στον αριστερό πλευρικό πίνακα, επιλέξτε Περισσότερα στοιχεία (...) >Διαχείριση πύλης.

  3. Στον αριστερό πλευρικό πίνακα της εφαρμογής Διαχείριση πύλης, επιλέξτε Ρυθμίσεις τοποθεσίας.

  4. Δημιουργήστε ή επεξεργαστείτε τη ρύθμιση της τοποθεσίας HTTP/Content-Security-Policy.

  5. Ορίστε τις τιμές που χρειάζεστε από την αναφορά CSP, διαχωρισμένες με ελληνικό ερωτηματικό. Για παράδειγμα, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Ενεργοποίηση nonce

Ένα nonce αντιπροσωπεύει έναν κωδικό, συνήθως αριθμητικό, που προορίζεται για χρήση μόνο μία φορά ("αριθμός μία φορά"). Όταν χρησιμοποιείτε ένα nonce με το CSP της τοποθεσίας σας, δημιουργείται ένας μοναδικός κρυπτογραφικός κωδικός και προστίθεται σε κάθε δέσμη ενεργειών που καθορίζεται στην επικεφαλίδα CSP. Μόνο οι ενσωματωμένες δέσμες ενεργειών που διαθέτουν χαρακτηριστικό nonce το οποίο να συμφωνεί με αυτό στο CSP επιτρέπεται να εκτελούνται. Οι δέσμες ενεργειών που μπορεί να έχουν εισαχθεί στη σελίδα από έναν επιτιθέμενο μπλοκάρονται επειδή δεν περιλαμβάνουν το χαρακτηριστικό nonce. Μάθετε περισσότερα για τη χρήση του nonce με το CSP.

Στις τοποθεσίες Power Pages, το nonce υποστηρίζει μόνο ενσωματωμένα σενάρια και ενσωματωμένες χειριστές συμβάντων.

Για να ενεργοποιήσετε το nonce για την τοποθεσία σας, προσθέστε την τιμή script-src 'nonce'; στη ρύθμιση HTTP/Content-Security-Policy της τοποθεσίας. Ακολουθούν μερικά παραδείγματα.

  • Εάν θέλετε μια αυστηρή πολιτική που δεν επιτρέπει τη φόρτωση σεναρίων από πηγές εκτός μιας τοποθεσίας Power Pages, προσθέστε την ακόλουθη τιμή στη ρύθμιση HTTP/Content-Security-Policy της τοποθεσίας: script-src 'self' content.powerapps.com 'nonce'

  • Εάν θέλετε να φορτώνετε δέσμες ενεργειών από κάποια ασφαλή προέλευση, προσθέστε την ακόλουθη τιμή: script-src https: 'nonce'

Όταν το nonce είναι ενεργοποιημένο, το unsafe-eval εισάγεται για να υποστηρίξει την αυτόματη αξιολόγηση μη ασφαλούς κώδικα. Για να απενεργοποιήσετε την αυτόματη ενσωμάτωση του unsafe-eval, αλλάξτε τη ρύθμιση της τοποθεσίας HTTP/Content-Security-Policy/Inject-unsafe-eval σε False. Λάβετε υπόψη ότι αν η εισαγωγή unsafe-eval είναι απενεργοποιημένη, η επικύρωση των πεδίων που δημιουργούνται αυτόματα σε βασικές φόρμες ή φόρμες πολλαπλών βημάτων ενδέχεται να μην λειτουργεί πλέον σωστά.