Configuración avanzada (versión preliminar)
[Este tema es documentación preliminar y está sujeto a modificaciones.]
El espacio de trabajo de Seguridad le permite proteger aún más el contenido y los datos de su sitio contra amenazas de seguridad, directamente desde el estudio de diseño de Power Pages. Use configuración avanzada para configurar los encabezados HTTP de su sitio de manera rápida y eficiente, configure la directiva de seguridad de contenido (CSP), el intercambio de recursos entre orígenes (CORS), cookies, permisos y más.
Importante
- Esta es una característica en versión preliminar.
- Las características en vista previa no se han diseñado para un uso de producción y pueden tener una funcionalidad restringida. Estas características están disponibles antes del lanzamiento oficial para que los clientes puedan tener un acceso anticipado y proporcionar comentarios.
- Inicie sesión en Power Pages y abra su sitio para editar.
- Seleccione Espacio de trabajo de seguridad en la navegación izquierda y luego elija Configuración avanzada (vista previa)
Configurar la directiva de seguridad de contenido (CSP)
Los servidores web utilizan la directiva de seguridad de contenido (CSP), para hacer cumplir un conjunto de reglas de seguridad para una página web. Ayuda a proteger los sitios de varios tipos de ataques de seguridad, como secuencias de comandos entre sitios (XSS), inyección de datos y otros ataques de inyección de código.
Directivas
Se admiten las siguientes directivas.
| Directiva | Descripción |
|---|---|
| Origen predeterminado | Especifica la fuente predeterminada para el contenido no definido explícitamente por otras directivas. Actúa como alternativa a otras directivas. |
| Origen de la imagen | Especifica fuentes válidas para imágenes. Controla los dominios desde los que se pueden cargar las imágenes. |
| Origen de fuente | Especifica fuentes válidas para fuentes. Se utiliza para controlar los dominios desde los que se pueden cargar las fuentes web. |
| Origen de script | Especifica fuentes válidas para el código JavaScript. El origen del script puede incluir dominios específicos, "self" para el mismo origen, "unsafe-inline" para scripts en línea y "nonce-xyz" para scripts con un nonce específico. Elija habilitar nonce o inyectar una evaluación insegura. Más información en Administrar la directiva de seguridad de contenido de su sitio: Activar una vez |
| Origen de estilo | Especifica fuentes válidas para hojas de estilo. Similar a script-src, puede incluir dominios, 'self', 'unsafe-inline' y 'nonce-xyz'. |
| Conectar origen | Especifica orígenes válidos para XMLHttpRequest, WebSocket o EventSource. Controla los dominios a los que la página puede realizar solicitudes de red. |
| Origen de medios | Especifica fuentes válidas para audio y vídeo. Se utiliza para controlar los dominios desde los que se pueden cargar recursos multimedia. |
| Origen del marco | Especifica fuentes válidas para marcos. Controla los dominios desde los cuales la página puede insertar marcos. |
| Ancestros de marcos | Especifica fuentes válidas que pueden incrustar la página actual como un marco. Controla qué dominios pueden insertar la página. |
| Acción formulario | Especifica fuentes válidas para envíos de formularios. Define los dominios a los que se pueden enviar los datos del formulario. |
| Origen de objeto | Especifica fuentes válidas para los recursos del elemento de objeto, como archivos Flash u otros objetos insertados. Ayuda a controlar desde qué orígenes se pueden cargar estos objetos. |
| Origen del trabajador | Especifica fuentes válidas para trabajadores web, incluidos trabajadores dedicados, trabajadores compartidos y trabajadores de servicios. Ayuda a controlar desde qué orígenes se pueden cargar y ejecutar estos scripts de trabajo. |
| Origen del manifiesto | Especifica fuentes válidas para trabajadores web, incluidos trabajadores dedicados, trabajadores compartidos y trabajadores de servicios. Ayuda a controlar desde qué orígenes se pueden cargar y ejecutar estos scripts de trabajo. |
| Origen secundario | Especifica fuentes válidas para trabajadores web, incluidos trabajadores dedicados, trabajadores compartidos y trabajadores de servicios. Ayuda a controlar desde qué orígenes se pueden cargar y ejecutar estos scripts de trabajo. |
Para cada directiva, puede elegir una URL específica, todos los dominios o ninguno.
Para una configuración avanzada, vaya a Administrar la directiva de seguridad de contenido de su sitio: Establecer el CSP de su sitio.
Configurar uso compartido de recursos de origen cruzado (CORS)
Los exploradores web utilizan el uso compartido de recursos entre orígenes (CORS), para permitir o restringir que las aplicaciones web que se ejecutan en un dominio soliciten y obtengan acceso a recursos de otro dominio.
Directivas
Se admiten las siguientes directivas.
| Directiva | Descripción | Valor(es) |
|---|---|---|
| Permitir el acceso a recursos del servidor | También conocido como Access-Control-Allow-Origin, ayuda al servidor a decidir qué orígenes pueden acceder a sus recursos. Los orígenes pueden ser dominios, protocolos y puertos. | Elija las URL del dominio |
| Enviar encabezados durante las solicitudes del servidor | También denominado Access-Control-Allow-Headers; ayuda a definir los encabezados que se pueden enviar en las solicitudes desde un origen diferente para acceder a recursos del servidor. | Elija encabezados específicos con los siguientes permisos Origen Aceptar Autorización Contenido – tipo |
| Exponer valores de encabezado en el código del lado cliente | También conocida como Access-Control-Expose-Headers, esta directiva indica al navegador qué encabezados de respuesta deben exponerse y hacerse accesibles al código del lado del cliente solicitante en solicitudes de origen cruzado. | Elija encabezados específicos con los siguientes permisos Origen Aceptar Autorización Contenido – tipo |
| Definir métodos de acceso a recursos | También denominado Access-Control-Allow-Methods; ayuda a definir qué métodos HTTP se permiten al acceder a recursos de un servidor desde un origen diferente. | GET: solicita datos de un recurso específico POST: envía datos para ser procesados a un recurso específico PUT: actualiza o reemplaza un recurso en una URL específica HEAD: Igual que GET pero recupera solo los encabezados y no el contenido real PATCH: Modifica parcialmente un recurso OPTIONS: Solicita información sobre las opciones de comunicación disponibles para un recurso o servidor DELETE: elimina el recurso especificado |
| Especificar la duración del almacenamiento en caché de los resultados de la solicitud | También denominado Access-Control-Max-Age; ayuda a definir el tiempo durante el cual el explorador puede almacenar en caché los resultados de una solicitud de verificación previa. | Especificar duración en tiempo (segundos) |
| Permitir que el sitio comparta credenciales | También denominado Access-Control-Allow-Credentials; ayuda a definir si el sitio puede compartir credenciales como cookies, encabezados de autorización o certificados SSL del lado cliente durante las solicitudes entre orígenes. | Sí/No |
| Mostrar página web como un iFrame del mismo origen | También denominado X-Frame-Options; permite que la página se muestre en un iframe solo si la solicitud proviene del mismo origen. | Sí/No |
| Bloquear detección MIME | También denominado X-Content-Type-Options: no-sniff; ayuda a impedir que los exploradores web realicen una detección del tipo MIME (content-type) o adivinen el tipo de contenido de un recurso. | Sí/No |
Configurar cookies (CSP)
El encabezado de Cookie en una solicitud HTTP contiene información sobre las cookies almacenadas previamente por un sitio web en su navegador. Cuando visita un sitio web, su navegador envía al servidor un encabezado de cookies que contiene todas las cookies relevantes asociadas con ese sitio.
Directivas
Se admiten las siguientes directivas.
| Directiva | Descripción | Encabezado |
|---|---|---|
| Reglas de transferencia para todas las cookies | Controle cómo se envían las cookies con solicitudes de origen cruzado. Es una característica de seguridad destinada a mitigar ciertos tipos de falsificación de solicitudes entre sitios (CSRF) y ataques de fuga de información. | Esta configuración corresponde al encabezado SameSite/Default. |
| Reglas de transferencia para cookies específicas | Controle cómo se envían las cookies con solicitudes de origen cruzado. Es una característica de seguridad destinada a mitigar ciertos tipos de falsificación de solicitudes entre sitios (CSRF) y ataques de fuga de información. | Esta configuración corresponde a la cookie de encabezado SameSite/Specific. |
Configurar directiva de permisos (CSP)
El encabezado Política de permisos permite a los desarrolladores web controlar qué funciones de la plataforma web están permitidas o denegadas en una página web.
Directivas
Las siguientes directivas son compatibles y controlan el acceso a sus respectivas API.
- Acelerómetro
- Ambient-Light-Sensor
- Reproducción automática
- Batería
- Cámara
- Pantalla
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Pantalla completa
Pad de juego
- Geolocalización
- Giróscopo
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetómetro
- Micrófono
- Midi
- Otp-Credentials
- Pago
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurar más encabezados HTTP
Permitir conexión segura a través de HTTPS
La configuración correspondiente al encabezado HTTP Strict-Transport-Security informa al navegador que solo debe conectarse al sitio web a través de HTTPS, incluso si el usuario ingresa "http://" en la barra de direcciones. Ayuda a prevenir ataques de intermediario al garantizar que toda la comunicación con el servidor esté cifrada y proteger contra ciertos tipos de ataques, como ataques de degradación de protocolo y secuestro de cookies.
Nota
Por razones de seguridad, esta configuración no se puede modificar.
Incluir información de referencia en los encabezados HTTP
El encabezado HTTP Referrer-Policy se utiliza para controlar cuánta información sobre el origen de la solicitud (información de referencia) se divulga en los encabezados HTTP cuando un usuario navega de una página a otra. Este encabezado ayuda a controlar los aspectos de privacidad y seguridad relacionados con la información del referente.
| valor | Descripción |
|---|---|
| Sin origen de referencia | Sin referencia significa que no se envía información de referencia en los encabezados. Esta configuración es la opción más consciente de la privacidad. |
| Sin origen de referencia al cambiar a una versión anterior | Envía la información de referencia completa cuando se navega desde un HTTPS a un sitio HTTP, pero solo el origen (sin ruta ni consulta) cuando se navega entre sitios HTTPS. |
| Directiva mismo origen - origen de referencia | Mismo origen envía la información de referencia completa solo cuando la solicitud es del mismo origen. Para solicitudes de origen cruzado, solo se envía el origen. |
| Origen | Origen envía el origen de la referencia, pero ninguna ruta o información de consulta, tanto para solicitudes del mismo origen como de orígenes cruzados. |
| Origen estricto | Es similar al origen, pero solo envía información de origen de referencia para las solicitudes del mismo origen. |
| Origen cuando es entre orígenes | Es similar al origen, pero solo envía información de origen de referencia para las solicitudes del mismo origen. |