Avanserte innstillinger (forhåndsversjon)
[Dette emnet inneholder dokumentasjon for forhåndsversjonen, og kan bli endret.]
Via sikkerhetsarbeidsområdet kan du ytterligere beskytte nettstedsinnholdet og -dataene mot sikkerhetsrisikoer, direkte fra Power Pages-utformingsstudioet. Bruk avanserte innstillinger til å konfigurere HTTP-overskrifter på nettstedet raskt og effektivt, konfigurere CSP (sikkerhetspolicy for innhold), CORS (ressursdeling på tvers av opprinnelse), informasjonskapsler, tillatelser og mer.
Viktig!
- Dette er forhåndsversjonsfunksjon.
- Forhåndsversjonsfunksjonene er ikke ment for produksjonsbruk og kan ha begrenset funksjonalitet. Disse funksjonene er tilgjengelige før en offisiell utgivelse, slik at kunder kan få tidlig tilgang og gi tilbakemeldinger.
- Logg deg på Power Pages, og åpne nettstedet for redigering.
- Velg Sikkerhetsarbeidsområde fra venstre navigasjon, og velg deretter Avanserte innstillinger (forhåndsversjon).
Konfigurer sikkerhetspolicy for innhold (CSP)
Sikkerhetspolicy for innhold (CSP) brukes av nettservere til å håndheve et sett med sikkerhetsregler for en nettside. Den bidrar til å beskytte nettstedet mot ulike typer sikkerhetsangrep, for eksempel skript på tvers av nettsteder (XSS), datainnsetting og andre kodeinjiseringsangrep.
Direktiver
Følgende direktiver støttes.
| Direktiv | Beskrivelse |
|---|---|
| Standardkilde | Angir standardkilden for innhold som ikke er eksplisitt definert av andre direktiver. Den fungerer som en basis for andre direktiver. |
| Bildekilde | Angir gyldige kilder for bilder. Kontrollerer domenene som bilder kan lastes inn fra. |
| Skriftkilde | Angir gyldige kilder for skrifter. Brukes til å kontrollere domenene som nettskrifter kan lastes inn fra. |
| Skriptkilde | Angir gyldige kilder for JavaScript-kode. Skriptkilden kan inneholde spesifikke domener, "self" for samme opphav, "unsafe-inline" for innebygde skript og "nonce-xyz" for skript med en spesifikk nonce. Velg å aktivere nonce eller inject unsafe eval. Finn ut mer på Administrer nettstedets sikkerhetspolicy for innhold: aktiver engangsnøkkel |
| Stilkilde | Angir gyldige kilder for stilark. På samme måte som skript-src kan den inneholde domener: "self", "unsafe-inline" og "nonce-xyz". |
| Koble til kilde | Angir gyldige kilder for XMLHttpRequest, WebSocket eller EventSource. Kontrollerer domenene som siden kan sende nettverksforespørsler til. |
| Mediekilde | Angir gyldige kilder for lyd og video. Brukes til å kontrollere domenene som medieressurser kan lastes inn fra. |
| Rammekilde | Angir gyldige kilder for rammer. Kontrollerer domenene som siden kan bygge inn rammer fra. |
| Rammeopphav | Angir gyldige kilder som kan bygge inn gjeldende side som en ramme. Kontrollerer hvilke domener som kan bygge inn siden. |
| Skjemahandling | Angir gyldige kilder for skjemainnsendinger. Definerer domenene som skjemadata kan sendes til. |
| Objektkilde | Angir gyldige kilder for objektelementets ressurser, for eksempel Flash-filer eller andre innebygde objekter. Den hjelper deg med å kontrollere opprinnelsen som disse objektene kan lastes inn fra. |
| Arbeiderkilde | Angir gyldige kilder for nettarbeidere, inkludert dedikerte arbeidere, delte arbeidere og servicearbeidere. Den hjelper deg med å kontrollere opprinnelsen som disse arbeiderskriptene kan lastes inn og kjøres fra. |
| Manifestkilde | Angir gyldige kilder for nettarbeidere, inkludert dedikerte arbeidere, delte arbeidere og servicearbeidere. Den hjelper deg med å kontrollere opprinnelsen som disse arbeiderskriptene kan lastes inn og kjøres fra. |
| Underordnet kilde | Angir gyldige kilder for nettarbeidere, inkludert dedikerte arbeidere, delte arbeidere og servicearbeidere. Den hjelper deg med å kontrollere opprinnelsen som disse arbeiderskriptene kan lastes inn og kjøres fra. |
For hvert direktiv kan du velge en bestemt nettadresse, alle domener eller ingen.
Når det gjelder avansert konfigurasjon, kan du gå til Administrer nettstedets sikkerhetspolicy for innhold: angi CSP for nettstedet.
Konfigurer ressursdeling på tvers av opprinnelse (CORS)
Ressursdeling på tvers av opprinnelse (CORS) brukes av nettlesere til å tillate eller begrense nettprogrammer som kjører i et domene, til å be om og få tilgang til ressurser fra et annet domene.
Direktiver
Følgende direktiver støttes.
| Direktiv | Beskrivelse | Verdi(er) |
|---|---|---|
| Tillat tilgang til ressurser fra serveren | Også kjent som Access-Control-Allow-Origin, hjelper serveren med å bestemme hvilke opprinnelser som har tillatelse til å få tilgang til ressursene. Opprinnelser kan være domener, protokoller og porter. | Velg nettadresser for domene |
| Send hoder under serverforespørsler | Også kjent som Access-Control-Allow-Headers: hjelper til med å definere hodene som kan sendes i forespørsler fra en annen opprinnelse, for å få tilgang til ressurser på serveren. | Velg bestemte overskrifter med følgende tillatelser Origin Accept Authorization Content – type |
| Vis hodeverdier i kode på klientsiden | Dette direktivet, også kalt Access-Control-Exposed-Headers, instruerer nettleseren om hvilke svarhoder som skal eksponeres og gjøres tilgjengelige for den forespurte koden på klientsiden i forespørsler på tvers av opprinnelse. | Velg bestemte overskrifter med følgende tillatelser Origin Accept Authorization Content – type |
| Definer metoder for å få tilgang til ressurser | Også kjent som Access-Control-Allow-Methods: hjelper til med å definere hvilke HTTP-metoder som er tillatt ved tilgang til ressurser på en server fra en annen opprinnelse. | GET – Ber om data fra en bestemt ressurs POST – Sender data som skal behandles, til en bestemt ressurs PUT – Oppdaterer eller erstatter en ressurs på en bestemt nettadresse HEAD – Samme som GET, men henter bare overskriftene og ikke det faktiske innholdet PATCH – Endrer en ressurs delvis OPTIONS – Ber om informasjon om kommunikasjonsalternativene som er tilgjengelige for en ressurs eller server DELETE – Sletter den angitte ressursen |
| Angi varighet for bufring av forespørselsresultater | Også kjent som Access-Control-Max-Age: hjelper til med å definere hvor lenge resultatene fra en forhåndsversjonskontroll kan bufres i nettleseren. | Angi varigheten i antall ganger (sekunder) |
| Tillat nettstedet å dele legitimasjon | Også kjent som Access-Control-Allow-Credentials: hjelper til med å definere om nettstedet kan dele legitimasjon, som informasjonskapsler, autorisasjonshoder eller SSL-sertifikater på klientsiden, under forespørsler om kryssopprinnelse. | Ja/nei |
| Vis nettside som en iFrame fra samme opprinnelse | Også kjent som X-Frame-Options: gjør at siden kan vises i en iframe bare hvis forespørselen kommer fra samme opprinnelse. | Ja/nei |
| Blokker MIME-sniffing | Også kjent som X-Content-Type-Options: no-sniff, dette bidrar til å hindre nettlesere i å utføre MIME-typesniffing (innholdstype) eller å gjette innholdstypen til en ressurs. | Ja/nei |
Konfigurer informasjonskapsler (CSP)
Informasjonskapselhodet i en HTTP-forespørsel inneholder informasjon om informasjonskapsler som tidligere ble lagret av et nettsted i nettleseren. Når du besøker et nettsted, sender nettleseren et informasjonskapselhode som inneholder alle relevante informasjonskapsler som er knyttet til dette nettstedet, tilbake til serveren.
Direktiver
Følgende direktiver støttes.
| Direktiv | Beskrivelse | Topptekst |
|---|---|---|
| Overføringsregler for alle informasjonskapsler | Kontroller hvordan informasjonskapsler sendes med forespørsler på tvers av opprinnelse. Dette er en sikkerhetsfunksjon som er rettet mot å redusere bestemte typer forfalsking av forespørsler på tvers av nettsteder og angrep av typen informasjonslekkasje. | Denne innstillingen tilsvarer hodet SameSite/Default. |
| Overføringsregler for spesifikke informasjonskapsler | Kontroller hvordan informasjonskapsler sendes med forespørsler på tvers av opprinnelse. Dette er en sikkerhetsfunksjon som er rettet mot å redusere bestemte typer forfalsking av forespørsler på tvers av nettsteder og angrep av typen informasjonslekkasje. | Denne innstillingen tilsvarer hodet SameSite/Specific cookie. |
Konfigurer Permissions-Policy (CSP)
Hodet Permissions-Policy gjør at nettutviklere kan styre hvilke nettplattformfunksjoner som tillates eller avvises på en nettside.
Direktiver
Følgende direktiver støttes og kontrollerer tilgang til de respektive API-ene.
- Akselerometer
- Ambient-Light-Sensor
- Automatisk avspilling
- Batteri
- Kamera
- Vis
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Betaling
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigurer flere HTTP-hoder
Tillat sikker tilkobling over HTTPS
Innstillingen som tilsvarer hodet HTTP Strict-Transport-Security, informerer nettleseren om at den bare skal koble til nettstedet over HTTPS, selv om brukeren skriver inn "http://" på adresselinjen. Det bidrar til å hindre mellommannangrep ved å sikre at all kommunikasjon med serveren krypteres og beskyttes mot bestemte typer angrep, for eksempel nedgradering av protokoll og kapring av informasjonskapsler.
Merk
Av sikkerhetshensyn kan ikke denne innstillingen endres.
Ta med henvisningsinformasjon i HTTP-topptekster
HTTP-hodet Referrer-Policy brukes til å styre hvor mye informasjon om opprinnelsen til forespørselen (referentinformasjon) som vises i HTTP-hodene når en bruker navigerer fra én side til en annen. Dette hodet bidrar til å kontrollere personvern- og sikkerhetsaspekter som er relatert til referentinformasjon.
| Verdi | Beskrivelse |
|---|---|
| Ingen referent | No-referrer betyr at det ikke sendes referentinformasjon i hodene. Denne innstillingen er det strengeste alternativet for personvern. |
| Ingen referent ved nedgradering | Det sender fullstendig referentinformasjon når du navigerer fra et HTTPS-nettsted til et HTTP-nettsted, men bare opprinnelsen (ingen bane eller spørring) når du navigerer mellom HTTPS-nettsted. |
| Same Origin – Referrer-Policy | Same-origin sender bare den fullstendige referentinformasjonen når forespørselen er til samme opprinnelse. For forespørsler på tvers av opprinnelse sendes bare opprinnelsen. |
| Opprinnelse | Opprinnelse sender opprinnelsen til referenten, men ingen bane- eller spørringsinformasjon, både for forespørsler med samme opprinnelse og på tvers av opprinnelser. |
| Streng opprinnelse | Ligner på opprinnelsen, men sender bare referentinformasjon for forespørsler med samme opprinnelse. |
| Opprinnelse ved kryssopprinnelse | Ligner på opprinnelsen, men sender bare referentinformasjon for forespørsler med samme opprinnelse. |