사이트의 콘텐츠 보안 정책 관리

콘텐츠 보안 정책(CSP)은 데이터 도난, 사이트 변조 또는 멀웨어 배포와 같은 일부 유형의 웹 공격을 감지하고 완화하는 데 도움이 되는 추가 보안 계층입니다. CSP는 사이트 페이지가 로드할 수 있는 리소스를 제어하는 데 도움이 되는 광범위한 정책 지시문을 제공합니다. 각 지시문은 특정 유형의 리소스에 대한 제한 사항을 정의합니다.

Power Pages 사이트에 대해 CSP를 설정하면 연결, 스크립트, 글꼴 및 알 수 없거나 악의적인 출처에서 비롯된 기타 유형의 리소스를 차단하여 사이트를 더 안전하게 만드는 데 도움이 됩니다.

CSP는 기본적으로 꺼져 있습니다. 그러나 웹 사이트는 다른 보안을 강화하기 위해 CSP가 필요할 수 있습니다.

CSP를 관리하려면 포털 관리 앱을 사용하십시오.

사이트의 CSP 설정

1. Power Pages에 로그인하고 편집할 사이트를 엽니다.

2. 왼쪽 패널에서 추가 항목(…) >포털 관리를 선택합니다.

3. 포털 관리 앱의 왼쪽 패널에서 사이트 설정을 선택합니다.

4. HTTP/Content-Security-Policy 사이트 설정을 만들거나 편집합니다.

5. CSP 참조에서 필요한 값을 세미콜론으로 구분하여 설정합니다. 예: script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

nonce 켜기

nonce는 일반적으로 숫자로 된 코드를 나타내며 한 번만 사용됩니다("숫자 한 번"). 사이트의 CSP에서 nonce를 사용하면 고유한 암호화 코드가 생성되어 CSP 헤더에 지정된 각 스크립트에 추가됩니다. CSP의 특성과 일치하는 nonce 특성이 있는 인라인 스크립트만 실행할 수 있습니다. 공격자가 페이지에 삽입했을 수 있는 스크립트는 nonce 특성을 포함하지 않기 때문에 차단됩니다. CSP에서 nonce 사용에 대해 자세히 알아보기.

Power Pages 사이트에서 nonce는 인라인 스크립트와 인라인 이벤트 핸들러만 지원합니다..

사이트에 대해 nonce를 켜려면 script-src 'nonce'; 값을 HTTP/Content-Security-Policy 사이트 설정에 추가하세요. 다음은 몇 가지 예입니다.

• 스크립트가 Power Pages 사이트 외부의 소스에서 로드되는 것을 허용하지 않는 엄격한 정책을 원하는 경우 HTTP/Content-Security-Policy 사이트 설정에 script-src 'self' content.powerapps.com 'nonce' 값을 추가합니다

• 보안 소스에서 스크립트를 로드하려는 경우 script-src https: 'nonce' 값을 추가합니다

nonce가 켜져 있으면 안전하지 않은 코드의 자동 평가를 지원하기 위해 unsafe-eval이 주입됩니다. unsafe-eval의 자동 주입을 끄려면 사이트 설정 HTTP/Content-Security-Policy/Inject-unsafe-eval을 False로 변경합니다. unsafe-eval 주입이 꺼져 있으면 기본 또는 다단계 양식에서 자동으로 생성된 필드의 유효성 검사가 더 이상 올바르게 작동하지 않을 수 있습니다.