Del via

Behandle nettstedets sikkerhetspolicy for innhold

  • Artikkel

Sikkerhetspolicy for innhold (CSP) er et ekstra lag med sikkerhet som bidrar til å registrere og redusere enkelte typer nettangrep, for eksempel datatyveri, områdeavvik eller distribusjon av skadelig programvare. CSP inneholder et omfattende sett med policydirektiver som bidrar til å styre ressursene som en områdeside kan laste inn. Hvert direktiv definerer begrensningene for en bestemt ressurstype.

Når CSP er aktivert for et Power Pages-nettsted, bidrar det til å forbedre sikkerheten på nettstedet ved å blokkere tilkoblinger, skripter, skrifter og andre typer ressurser som kommer fra ukjente eller skadelige kilder.

CSP er som standard ikke aktivert. Nettsteder kan imidlertid kreve CSP for å forbedre annen sikkerhet.

Bruk Portalbehandling-appen til å administrere CSP.

Angi CSP-en for nettstedet

  1. Logg deg på Power Pages og åpne nettstedet for redigering.

  2. I venstre sidepanel velger du Flere elementer () >Portaladministrasjon.

  3. I venstre sidepanel i Portalbehandling-appen velger du Områdeinnstillinger.

  4. Opprette eller redigere områdeinnstillingen HTTP/Content-Security-Policy.

  5. Angi verdiene du trenger fra CSP-referansen, atskilt med semikolon, for eksempel script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Aktivere nonce

Et nonce representerer en kode, vanligvis numerisk, som er ment å brukes bare én gang ("nummer én"). Når du bruker et nonce med nettstedets CSP, genereres en unikt kryptografisk kode og legges til i hvert skript som er angitt i CSP-hodet. Bare innebygde skript som har et nonce-attributt som samsvarer med skriptet i CSP-en, kan kjøre. Skript som en angriper kan ha lagt inn på siden, blokkeres fordi de ikke inkluderer attributtet nonce. Lær mer om bruk av nonce med CSP.

På Power Pages-nettsteder støtter nonce bare innebygde skripter og innebygde hendelsesbehandlinger.

For å slå på nonce for nettstedet legger du til verdien script-src 'nonce'; i områdeinnstillingene HTTP/Content-Security-Policy. Noen få eksempler følger.

  • Hvis du vil ha en streng policy som ikke tillater at skript lastes inn fra kilder utenfor et Power Pages-område, legger du til følgende verdi i områdeinnstillingen HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Hvis du vil laste inn skripter fra en sikker kilde, legger du til følgende verdi: script-src https: 'nonce'

Når nonce er aktivert, settes unsafe-eval inn for å støtte den automatiske evalueringen av usikker kode. Hvis du slå av automatisk innsetting av unsafe-eval, endrer du områdeinnstilingen HTTP/Content-Security-Policy/Inject-unsafe-eval til false. Husk at hvis unsafe-eval-innsettingen er deaktivert, kan det hende at valideringen av automatisk genererte felt i grunnleggende skjemaer eller skjemaer med multitrinn-skjemaer ikke lenger fungerer riktig.