サイトのコンテンツ セキュリティ ポリシーを管理する
コンテンツ セキュリティ ポリシー (CSP) は、データの盗難、サイトの改ざん、マルウェアの配布など、ある種の Web 攻撃を検知して軽減するのに役立つ追加のセキュリティ レイヤーです。 CSP は、サイト ページに読み込むことができるリソースを制御するのに役立つ、広範なポリシー ディレクティブのセットを提供します。 各ディレクティブは、特定のタイプのリソースに対する制限を定義します。
Power Pages サイトで CSP を有効にすると、接続、スクリプト、フォント、および未知または悪意のあるソースから発生したその他の種類のリソースをブロックすることによって、サイトのセキュリティを高めることができます。
CSP は既定でオフになっています。 ただし、Web サイトでは、他のセキュリティを強化するために CSP が必要な場合があります。
ポータル管理アプリ を使用して CSP を管理します。
サイトの CSP を設定する
Power Pages にサインインして、編集するサイトを開きます。
左側のペインで 他の項目 (…) >ポータル管理 を選択します。
ポータル管理アプリの左側のペインで サイト設定 を選択します。
HTTP/Content-Security-Policy サイトの設定を作成または編集します。
CSP リファレンス から必要な値をセミコロンで区切って設定します。例:
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
nonce をオンにする
nonce はコードを表し、通常は数字で、1 回だけ使用されることを意味します ("number once")。 サイトの CSP で nonce を使用すると、一意の暗号コードが生成され、CSP ヘッダーで指定された各スクリプトに追加されます。 CSP 内の属性と一致する nonce 属性を持つインライン スクリプトのみが実行を許可されます。 攻撃者がページに挿入した可能性のあるスクリプトは、nonce 属性が含まれていないためブロックされます。 CSP での nonce の使用については、こちらを参照してください。
Power Pages サイト では、nonce はインライン スクリプトとインライン イベント ハンドラーのみをサポートします。
サイトで nonce をオンにするには、script-src 'nonce'; 値を HTTP/Content-Security-Policy サイト設定に追加します。 以下にいくつかの例を示します。
Power Pages サイト以外のソースからのスクリプトのロードを許可しない厳格なポリシーが必要な場合は、次の値を HTTP/Content-Security-Policy サイト設定に追加します:
script-src 'self' content.powerapps.com 'nonce'
安全なソースからスクリプトを読み込む場合、次の値を追加します:
script-src https: 'nonce'
nonce をオンにすると、unsafe-eval は安全でないコードの自動評価をサポートするために挿入されます。 unsafe-eval の自動挿入をオフにするには、サイト設定 HTTP/Content-Security-Policy/Inject-unsafe-eval を False に変更します。 unsafe-eval の挿入をオフにすると、基本 または マルチステップ のフォームで自動生成されたフィールドの検証が正しく機能しなくなる可能性があることに注意してください。