Sivuston sisällön suojauskäytännön hallinta
Sisällön suojauskäytäntö (CSP) on ylimääräinen suojaustaso, joka auttaa havaitsemaan ja vähentämään tietyntyyppisiä verkkohyökkäyksiä, kuten tietojen varkauksia, sivustojen hakkerointeja tai haittaohjelmien jakelua. CSP sisältää kattavan joukon käytäntöjä, jotka auttavat hallitsemaan sivuston sivun lataamisen sallimaa resurssia. Kukin direktiivi määrittää tietyntyyppisen resurssin rajoitukset.
Kun CSP on otettu käyttöön Power Pages -sivustossa, se auttaa parantamaan sivuston suojausta estämällä yhteydet, komentosarjat, fontit ja muut resurssit, jotka ovat peräisin tuntemattomista tai haitallisista lähteistä.
CSP ei ole oletusarvon mukaan käytössä. Verkkosivustot voivat kuitenkin edellyttää CSP:n käyttöä muiden suojausten tehosteena.
Hallitse CSP:tä Portaalin hallintasovelluksen avulla.
Määritä sivustosi CSP
Kirjaudu Power Pagesiin ja avaa sivustosi muokkausta varten.
Valitse vasemmassa paneelissa Lisää kohteita (…) >Portaalin hallinta.
Valitse Portaalin hallinta -sovelluksen vasemmassa ruudussa Sivuston asetukset.
Luo tai muokkaa HTTP/Content-Security-Policy-sivustoasetusta.
Määritä tarvittavat arvot CSP-viitteestä puolipisteillä erotettuina. Esimerkki:
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Ota nonce käyttöön
Nonce tarkoittaa koodia, yleensä numeerista koodia, joka on tarkoitettu käytettäväksi vain kerran ("kertanumero"). Kun käytät noncea sivuston CSP:n kanssa, luodaan yksilöllinen salauskoodi, joka lisätään kuhunkin CSP-otsikossa määritettyyn komentosarjaan. Vain ne sisäiset komentosarjat, joissa on CSP-määritettä vastaava nonce-määrite, suoritetaan. Komentosarjat, jotka hyökkääjä on ehkä upottanut sivuun, estetään, koska niissä ei ole nonce-määritettä. Lisätietoja noncen käyttämisestä CSP:n kanssa.
Power Pages -sivustoissa nonce tukee vain sisäisiä komentosarjoja ja sisäisiä tapahtumakäsittelijöitä.
Jos haluat ottaa nonce-arvon käyttöön sivustossasi, lisää script-src 'nonce';-arvo HTTP/Content-Security-Policy -sivustoasetukseen. Seuraavassa on muutamia esimerkkejä.
Jos haluat, että käytössä on tiukka käytäntö, jonka mukaan komentosarjoja ei voi ladata Power Pages -sivuston ulkopuolelta, lisää seuraava arvo HTTP/Content-Security-Policy -sivustoasetukseen:
script-src 'self' content.powerapps.com 'nonce'
Jos haluat ladata komentosarjoja mistä tahansa suojatusta lähteestä, lisää seuraava arvo:
script-src https: 'nonce'
Kun nonce on otettu käyttöön, unsafe-eval upotetaan turvattoman koodin automaattisen arvioinnin tueksi. Jos haluat poistaa unsafe-eval-arvon automaattisen upottamisen käytöstä, muuta HTTP/Content-Security-Policy/Inject-unsafe-eval -arvoksi False. Muista, että jos unsafe-eval-upotus on poistettu käytöstä, peruslomakkeiden tai monivaiheisten lomakkeiden automaattisesti luotujen kenttien tarkistaminen ei ehkä enää toimi oikein.