Partager via

Gérer la stratégie de sécurité du contenu de votre site

  • Article

La Stratégie de sécurité du contenu (CSP) est une couche de sécurité supplémentaire qui permet de détecter et d’atténuer certains types d’attaques Web telles que le vol de données, la dégradation de sites ou la diffusion de logiciels malveillants. La CSP fournit un ensemble complet de directives stratégiques qui aident à contrôler les ressources qu’une page de site est autorisée à charger. Chaque directive définit les restrictions pour un type spécifique de ressource.

Lorsque la CSP est activée pour un site Power Pages, elle aide à renforcer la sécurité du site en bloquant les connexions, les scripts, les polices et d’autres types de ressources provenant de sources inconnues ou malveillantes.

La CSP est désactivée par défaut. Cependant, les sites Web peuvent nécessiter la CSP pour améliorer d’autres aspects de sécurité.

Utilisez l’application Gestion du portail pour améliorer la CSP.

Définir la CSP de votre site

  1. Connectez-vous à Power Pages et ouvrez votre site pour modification.

  2. Dans le volet de gauche, sélectionnez Autres éléments () >Gestion du portail.

  3. Dans le volet de gauche de l’application Gestion du portail, sélectionnez Paramètres du site.

  4. Créez ou modifiez le paramètre de site HTTP/Content-Security-Policy.

  5. Définissez les valeurs nécessaires à partir de la Référence CSP, séparées par des points-virgules ; par exemple, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Activer le nonce

Un nonce représente un code, généralement numérique, destiné à être utilisé une seule fois (« numéro utilisé une seule fois »). Lorsque vous utilisez un nonce avec la CSP de votre site, un code cryptographique unique est généré et ajouté à chaque script spécifié dans l’en-tête CSP. Seuls les scripts en ligne qui ont un attribut nonce correspondant à celui de la CSP sont autorisés à s’exécuter. Les scripts qu’un attaquant peut avoir injectés dans la page sont bloqués car ils n’incluent pas l’attribut nonce. En savoir plus sur l’utilisation d’un nonce avec la CSP.

Dans les sites Power Pages, le nonce ne prend en charge que les scripts en ligne et les gestionnaires d’événements en ligne.

Pour activer le nonce pour votre site, ajoutez la valeur script-src ’nonce’; au paramètre de site HTTP/Content-Security-Policy. Quelques exemples suivent.

  • Si vous souhaitez une stratégie stricte qui n’autorise pas le chargement de scripts à partir de sources externes à un site Power Pages, ajoutez la valeur suivante au paramètre de site HTTP/Content-Security-Policy : script-src 'self' content.powerapps.com 'nonce'

  • Si vous souhaitez charger des scripts à partir de n’importe quelle source sécurisée, ajoutez la valeur suivante : script-src https: 'nonce'

Lorsque le nonce est activé, unsafe-eval est injecté pour prendre en charge l’évaluation automatique du code non sécurisé. Pour désactiver l’injection automatique de unsafe-eval, modifiez le paramètre de site HTTP/Content-Security-Policy/Inject-unsafe-eval sur False. Gardez à l’esprit que si l’injection unsafe-eval est désactivée, la validation des champs générés automatiquement dans les formulaires de base ou à plusieurs étapes pourrait ne plus fonctionner correctement.