Lisäasetukset (esiversio)
[Tämä aihe sisältää julkaisua edeltävää materiaalia ja voi muuttua.]
Suojaus-työtilan avulla voit edelleen suojata sivuston sisältöä ja tietoja tietoturvauhkilta – suoraan Power Pages -suunnittelustudiosta. Lisäasetusten avulla voit määrittää sivustosi HTTP-otsikot nopeasti ja helposti, määrittää sisällön suojauskäytännön (CSP), eri alkuperiä sisältävien resurssien jaon (CORS), evästeet, oikeudet ja paljon muuta.
Tärkeää
- Tämä on esiversiotoiminto.
- Esiversiotoimintoja ei ole tarkoitettu tuotantokäyttöön, ja niiden toiminnot voivat olla rajoitettuja. Nämä toiminnot ovat käytettävissä ennen virallista julkaisua, jotta asiakkaat voivat käyttää niiden ennakkojulkaisua ja antaa palautetta.
- Kirjaudu Power Pagesiin ja avaa sivusto muokkausta varten.
- Valitse vasemmasta siirtymisruudusta Suojaus-työtila ja valitse sitten Lisäasetukset (esiversio).
Sisällön suojauskäytännön (CSP) määritys
Verkkopalvelimet käyttävät sisällön suojauskäytäntöä verkkosivun suojaussääntöjen käytön valvomiseen. Se auttaa suojaamaan sivustoja erilaisilta tietoturvahyökkäyksiltä, kuten sivustojenvälisilta komentosarjoilta (XSS), tietojen injektoinnilta ja muilta koodin injektointihyökkäyksiltä.
Direktiivit
Tuetut direktiivit:
| Direktiivi | Kuvaus |
|---|---|
| Oletuslähde | Määrittää oletuslähteen sisällölle, jota muut direktiivit eivät ole eksplisiittisesti määrittäneet. Se toimii varakohteena muille direktiiveille. |
| Kuvalähde | Määrittää kuvien kelvolliset lähteet. Määrittää toimialueet, joista kuvia voidaan ladata. |
| Fonttien lähde | Määrittää fonttien kelvolliset lähteet. Tätä käytetään ohjaamaan toimialueita, joista verkkokirjasimia voidaan ladata. |
| Komentosarjan lähde | Määrittää JavaScript-koodin kelvolliset lähteet. Komentosarjalähde voi sisältää tiettyjä toimialueita, "self" samalle alkuperälle, "unsafe-inline" riviin sidotuille komentosarjoille sekä "nonce-xyz" komentosarjoille, joilla on tietty nonce-arvo. Valitse tämä, jos haluat ottaa käyttöön noncen tai injektoida unsafe-eval-määrityksen. Lisätietoja on kohdassa Sivuston sisällön suojauskäytännön hallinta: satunnaisluvun ottaminen käyttöön |
| Tyylisivun lähde | Määrittää tyylitiedostojen kelvolliset lähteet. script-src-määrityksen tavoin se voi sisältää toimialueita, 'self', 'unsafe-inline' tai 'nonce-xyz'. |
| Yhdistä lähteeseen | Määrittää XMLHttpRequest-, WebSocket- ja EventSource-määritysten kelvolliset lähteet. Määrittää toimialueet, joille sivu voi tehdä verkkopyyntöjä. |
| Medialähde | Määrittää ääntä ja videota koskevat kelvolliset lähteet. Tätä käytetään ohjaamaan toimialueita, joista mediaresursseja voidaan ladata. |
| Kehysten lähde | Määrittää kehysten kelvolliset lähteet. Ohjaa toimialueita, joista sivu voi upottaa kehyksiä. |
| Kehyksen edeltäjät | Määrittää kelvolliset lähteet, jotka voivat upottaa nykyisen sivun kehyksenä. Määrittää, mitkä toimialueet voivat upottaa sivun. |
| Lomaketoiminto | Määrittää lomakkeen lähetysten kelvolliset lähteet. Määrittää toimialueet, joihin lomaketiedot voidaan lähettää. |
| Objektien lähde | Määrittää objektielementin resurssien, kuten Flash-tiedostojen tai muiden upotettujen objektien, kelvolliset lähteet. Se auttaa hallitsemaan, mistä lähteistä näitä objekteja voidaan ladata. |
| Työn lähde | Määrittää verkkotöiden, kuten erillisten töiden, jaettujen töiden ja palvelutöiden, kelvolliset lähteet. Se auttaa hallitsemaan, mistä lähteistä näitä työkomentosarjoja voidaan ladata ja suorittaa. |
| Luettelotiedoston lähde | Määrittää verkkotöiden, kuten erillisten töiden, jaettujen töiden ja palvelutöiden, kelvolliset lähteet. Se auttaa hallitsemaan, mistä lähteistä näitä työkomentosarjoja voidaan ladata ja suorittaa. |
| Alitason lähde | Määrittää verkkotöiden, kuten erillisten töiden, jaettujen töiden ja palvelutöiden, kelvolliset lähteet. Se auttaa hallitsemaan, mistä lähteistä näitä työkomentosarjoja voidaan ladata ja suorittaa. |
Voit valita kullekin direktiiville joko tietyn URL-osoitteen, kaikki toimialueet tai ei mitään.
Lisätietoja lisämäärityksistä on kohdassa Sivuston sisällön suojauskäytännön hallinta:n sivuston sisällön suojauskäytännön määrittäminen.
Eri alkuperiä sisältävien resurssien jaon (CORS) määritys
Lähteiden välisen resurssien jakamisen (CORS) avulla selaimet voivat sallia tai rajoittaa sitä, voiko yhdellä toimialueella suoritettava verkkosovellus pyytää tai käyttää resursseja toiselta toimialueelta.
Direktiivit
Tuetut direktiivit:
| Direktiivi | Kuvaus | Arvo(t) |
|---|---|---|
| Salli resurssien käyttö palvelimelta | Access-Control-Allow-Origin-nimellä tunnettu määritys auttaa palvelinta päättämään, mistä alkuperistä sallitaan sen resurssien käyttö. Alkuperä voi olla toimialueita, protokollia ja portteja. | Toimialueen URL-osoitteiden valinta |
| Lähetä otsikot palvelinpyyntöjen aikana | Tämä Access-Control-Allow-Headers-nimellä tunnettu määritys voi auttaa määrittämään otsikot, jotka voidaan lähettää eri lähteestä peräisin olevissa pyynnöissä palvelimen resurssien käyttämiseksi. | Valitse tietyt otsikot, joilla on seuraavat oikeudet: Origin Accept Authorization Content – tyyppi |
| Näytä otsikkoarvot asiakaspuolen koodissa | Tämä Access-Control-Expose-Headers-nimellä tunnettu direktiivi opastaa selainta, mitkä vastausotsikot on näytettävä ja annettava pyytävän asiakaspuolen koodin käyttöön alkuperänvälisissä pyynnöissä. | Valitse tietyt otsikot, joilla on seuraavat oikeudet: Origin Accept Authorization Content – tyyppi |
| Määritä resurssien käytön metodit | Tämä Access-Control-Allow-Methods-nimellä tunnettu määritys auttaa määrittämään mitkä HTTP-menetelmät ovat sallittuja käytettäessä palvelimen resursseja eri lähteestä käsin. | GET – Pyytää tietoja määritetystä resurssista POST – Lähettää tiedot käsiteltäväksi tiettyyn resurssiin PUT – Päivittää tai korvaa resurssin tietyssä URL-osoitteessa HEAD - Sama kuin GET, mutta noutaa vain otsikot eikä varsinaista sisältöä PATCH - Muokkaa resurssia osittain OPTIONS – Pyytää tietoja resurssin tai palvelimen käytettävissä olevista viestintävaihtoehdoista DELETE – Poistaa määritetyn resurssin |
| Määritä pyynnön tulosten välimuistiin tallentamisen kesto | Tämä Access-Control-Max-Age-nimellä tunnettu asetus auttaa määrittämään keston, jonka ajaksi selain voi tallentaa esitarkistuspyynnön tulokset välimuistiin. | Määritä kesto aikana (sekunteina) |
| Salli sivuston jakaa tunnistetiedot | Tämä Access-Control-Allow-Credentials-nimellä tunnettu otsikko auttaa määrittämään, voiko sivusto jakaa tunnistetietoja (kuten evästeitä, valtuutusotsikoita tai asiakaspuolen SSL-varmenteita) lähteiden välisten pyyntöjen aikana. | Kyllä/ei |
| Näytä verkkosivu saman lähteen iFrame-kehyksenä | Tämä X-Frame-Options-nimellä tunnettu asetus sallii sivun näyttämisen iFrame-kehyksessä vain, jos pyyntö on peräisin samasta lähteestä. | Kyllä/ei |
| Estä MIME-tyypin haistelu | Tämä X-Content-Type-Options: no-sniff -nimellä tunnettu asetus estää verkkoselaimia suorittamasta resurssin sisältötyypille MIME-tyypin (sisältötyypin) haistelua tai arvaamista. | Kyllä/ei |
Evästeiden määrittäminen (CSP)
HTTP-pyynnön evästeotsikko sisältää tietoja evästeistä, jotka verkkosivusto on aiemmin tallentanut selaimeesi. Kun käyt verkkosivustossa, selaimesi lähettää palvelimeen evästeotsikon, joka sisältää kaikki sivustoon liittyvät asiaankuuluvat evästeet.
Direktiivit
Tuetut direktiivit:
| Direktiivi | Kuvaus | Ylätunniste |
|---|---|---|
| Siirtosäännöt kaikille evästeille | Ohjaa sitä, miten evästeet lähetetään lähteiden välisissä pyynnöissä. Se on suojausominaisuus, jolla pyritään vähentämään tietyntyyppisiä jaetun julkaisuoikeuspyynnön väärentämisiä (CSRF) ja tietovuotohyökkäyksiä. | Tämä asetus vastaa otsikkoa SameSite/oletus. |
| Siirtosäännöt tietyille evästeille | Ohjaa sitä, miten evästeet lähetetään lähteiden välisissä pyynnöissä. Se on suojausominaisuus, jolla pyritään vähentämään tietyntyyppisiä jaetun julkaisuoikeuspyynnön väärentämisiä (CSRF) ja tietovuotohyökkäyksiä. | Tämä asetus vastaa otsikon SameSite/tietty-evästettä. |
Oikeuskäytännön määrittäminen (CSP)
Oikeuskäytäntöotsikon avulla verkkokehittäjät voivat hallita, mitkä verkkoympäristön ominaisuudet sallitaan tai kielletään verkkosivulla.
Direktiivit
Seuraavat direktiivit ovat tuettuja, ja ne valvovat niitä vastaavien ohjelmointirajapintojen käyttöä.
- Accelerometer
- Ambient-Light-Sensor
- Automaattinen toisto
- Battery
- Kamera
- Näyttö
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofoni
- Midi
- Otp-Credentials
- Maksu
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Määritä muita HTTP-otsikoita
Salli suojattu yhteys HTTPS:n kautta
HTTP:n Strict-Transport-Security -otsikkoa vastaava asetus ilmoittaa selaimelle, että sen pitäisi muodostaa yhteys verkkosivustoon vain HTTPS:n kautta, vaikka käyttäjä kirjoittaa osoiteriville "http://". Se auttaa estämään välistävetohyökkäykset varmistamalla, että kaikki viestintä palvelimeen salataan ja että sitä suojataan tietyntyyppisilta hyökkäyksiltä, kuten protokollan heikentämishyökkäyksiltä ja evästeiden kaappaukselta.
Huomautus
Suojaussyistä tätä asetusta ei voi muokata.
Sisällytä viittaajatiedot HTTP-otsikoihin
HTTP-otsikon Referrer-Policy avulla voidaan määrittää, kuinka paljon tietoja pyynnön alkuperästä (viittaustiedot) on luovutettu HTTP-otsikoissa, kun käyttäjä siirtyy sivulta toiselle. Tämä otsikko auttaa hallitsemaan viittaajatietoihin liittyviä tietosuoja- ja suojausnäkökohtia.
| Value | Kuvaus |
|---|---|
| Ei viittaajaa | No-referrer tarkoittaa, että ylätunnisteissa ei lähetetä viittaajatietoja. Tämä asetus on yksityisyydensuojan suojaavin vaihtoehto. |
| No-Referrer-When-Downgrade | Se lähettää täydelliset viittaajatiedot, kun siirryt HTTPS-sivustosta HTTP-sivustoon, mutta vain alkuperän (ei polkua tai kyselyä) HTTPS-sivustojen välillä navigoinnin aikana. |
| Same-Origin – Referrer-Policy | Same-origin lähettää täydelliset viittaajatiedot vain, jos pyyntö on samaan alkuperään. Lähteiden välisten pyyntöjen yhteydessä lähetetään vain lähde. |
| Alkuperä | Alkuperä lähettää viittaajan alkuperän mutta ei polku- tai kyselytietoja sekä same-origin- että cross-origin-pyynnöille. |
| Tarkka lähde | Toimii samoin kuin lähde, mutta lähettää viittaajatiedot vain same-origin-pyynnöille. |
| Lähde, kun Cross-Origin käytössä | Toimii samoin kuin lähde, mutta lähettää viittaajatiedot vain same-origin-pyynnöille. |