Tutoriel : Ajouter des en-têtes de sécurité avec le moteur de règles
Important
Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important de migrer vos profils Azure Front Door (classique) vers le niveau Azure Front Door Standard ou Premium au plus en mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).
Ce tutoriel montre comment implémenter des en-têtes de sécurité pour empêcher les vulnérabilités des navigateurs, comme HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy ou X-Frame-Options. Les attributs basés sur la sécurité peuvent également être définis avec des cookies.
L’exemple suivant vous montre comment ajouter un en-tête Content-Security-Policy à toutes les demandes entrantes qui correspondent au chemin défini dans la route à laquelle votre configuration du moteur de règles est associée. Ici, nous autorisons uniquement les scripts de notre site de confiance, https://apiphany.portal.azure-api.net , à s’exécuter sur notre application.
Dans ce tutoriel, vous allez apprendre à :
- Configurer un en-tête Content-Security-Policy dans le moteur de règles.
Prérequis
- Un abonnement Azure.
- Une instance Azure Front Door. Pour suivre les étapes de ce tutoriel, vous devez avoir configuré une instance Front Door avec un moteur de règles. Pour plus d’informations, consultez Démarrage rapide : Créer une instance Front Door et Configurer votre moteur de règles.
Ajouter un en-tête Content-Security-Policy dans le portail Azure
Dans votre ressource d’instance Front Door, sélectionnez Configuration du moteur de règles sous Paramètres, puis sélectionnez le moteur de règles auquel vous souhaitez ajouter l’en-tête de sécurité.
Sélectionnez Ajouter une règle pour ajouter une nouvelle règle. Donnez un nom à la règle, puis sélectionnez Ajouter une action>En-tête de réponse.
Pour l’opérateur, choisissez Ajouter afin d’ajouter cet en-tête en tant que réponse à toutes les requêtes entrantes adressées à cette route.
Ajoutez le nom de l’en-tête, Content-Security-Policy, définissez les valeurs que cet en-tête doit accepter, puis sélectionnez Enregistrer. Dans ce scénario, nous choisissons
script-src 'self' https://apiphany.portal.azure-api.net.
Notes
Les valeurs d’en-tête sont limitées à 640 caractères.
Une fois l’ajout de règles à votre configuration terminé, assurez-vous d’associer votre configuration du moteur de règles à la règle de routage de votre itinéraire choisi. Cette étape est nécessaire pour permettre à la règle de fonctionner.
Notes
Dans ce scénario, nous n’avons pas ajouté de conditions de correspondance à la règle. Cette règle est appliquée à toutes les demandes entrantes qui correspondent au chemin défini dans la règle de routage. Si vous voulez qu’elle s’applique seulement à un sous-ensemble de ces demandes, veillez à ajouter vos conditions de correspondance spécifiques à cette règle.
Nettoyer les ressources
Au cours des étapes précédentes, vous avez configuré les en-têtes de sécurité avec le moteur de règles de votre instance Front Door. Si vous ne souhaitez plus la règle, vous pouvez la supprimer en sélectionnant Supprimer la règle dans le moteur de règles.
Étapes suivantes
Pour découvrir comment configurer un pare-feu d’applications web pour votre profil Front Door, passez au tutoriel suivant.