Compartir a través de

Administrar la directiva de seguridad de contenido del sitio

  • Artículo

La directiva de seguridad de contenido (CSP) es una capa adicional de seguridad que ayuda a detectar y mitigar algunos tipos de ataques web, como el robo de datos, la desfiguración del sitio o la distribución de malware. La CSP proporciona un amplio conjunto de directivas de directivas que ayudan a controlar los recursos que puede cargar una página del sitio. Cada directiva define las restricciones para un tipo específico de recurso.

Cuando la CSP está activada para un sitio de Power Pages, ayuda a mejorar la seguridad al bloquear conexiones, scripts, fuentes y otros tipos de recursos que se originan en orígenes desconocidos o maliciosos.

CSP está desactivada de forma predeterminada. Sin embargo, los sitios web pueden requerir CSP para mejorar otra seguridad.

Use la aplicación de Administración del portal para gestionar CSP.

Establecer la CSP de su sitio

  1. Inicie sesión en Power Pages y abra su sitio para editar.

  2. En el panel lateral izquierdo, seleccione Más elementos () >Gestión del portal.

  3. En el panel izquierdo de la aplicación Portal de administración, seleccione Configuraciones del sitio.

  4. Cree o edite la configuración del sitio HTTP/Content-Security-Policy.

  5. Establezca los valores que necesita de la referencia CSP, separados por punto y coma; por ejemplo, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Activar nonce

nonce representa un código, generalmente numérico, que debe usarse solo una vez ("número una vez"). Cuando usa un nonce con el CSP de su sitio, se genera un código criptográfico único y se agrega a cada secuencia de comandos que se especifica en el encabezado del CSP. Solo los scripts en línea que tienen un atributo nonce que coincide con el del CSP pueden ejecutarse. Los scripts que un atacante puede haber inyectado en la página se bloquean porque no incluyen el atributo nonce. Más información sobre el uso de nonce con CSP.

En los sitios Power Pages, nonce admite scripts en línea y controladores de eventos en línea.

Para activar nonce para su sitio, agregue el valor script-src 'nonce'; a la configuración del sitio HTTP/Content-Security-Policy. A continuación se muestran algunos ejemplos.

  • Si desea una política estricta que no permita que los scripts se carguen desde fuentes fuera de un sitio Power Pages, agregue el siguiente valor a la configuración HTTP/Content-Security-Policy del sitio: script-src 'self' content.powerapps.com 'nonce'

  • Si desea cargar scripts desde cualquier origen seguro, agregue del valor siguiiente: script-src https: 'nonce'

Cuando nonce está activado, se inyecta unsafe-eval para admitir la evaluación automática de código no seguro. Para desactivar la inyección automática de unsafe-eval, cambie la configuración del sitio HTTP/Content-Security-Policy/Inject-unsafe-eval a Falso. Tenga en cuenta que si se desactiva la inyección unsafe-eval, la validación de los campos generados automáticamente en los formularios básicos o de varios pasos puede que ya no funcione correctamente.