Geavanceerde instellingen (preview)
[Dit onderwerp maakt deel uit van de voorlopige documentatie en kan nog veranderen.]
Met de werkruimte Beveiliging kunt u de inhoud en gegevens van uw site verder beschermen tegen beveiligingsdreigingen, rechtstreeks vanuit de Power Pages-ontwerpstudio. Gebruik Geavanceerde instellingen (preview) om HTTP-headers van uw site snel en efficiënt te configureren, Content Security Policy (CSP), Cross Origin Resource Sharing (CORS), cookies, machtigingen te configureren en meer.
Belangrijk
- Dit is een preview-functie.
- Preview-functies zijn niet bedoeld voor productiegebruik en bieden mogelijk beperkte functionaliteit. Deze functies zijn beschikbaar vóór een officiële release zodat klanten vroeg toegang kunnen krijgen en feedback kunnen geven.
- Meld u aan bij Power Pages en open uw site om deze te bewerken.
- Selecteer Beveiligingswerkruimte in de linkernavigatie en kies vervolgens Geavanceerde instellingen (preview).
Beveiligingsbeleid voor inhoud (CSP) configureren
Beveiligingsbeleid voor inhoud, of CSP (Content Security Policy), wordt door webservers gebruikt om een reeks beveiligingsregels voor een webpagina af te dwingen. Hiermee kunnen sites worden beschermd tegen verschillende soorten beveiligingsaanvallen, zoals cross-site scripting (XSS), gegevensinjectie en andere code-injectieaanvallen.
Richtlijnen
De volgende richtlijnen worden ondersteund.
| Richtlijn | Beschrijving |
|---|---|
| Standaardbron | Hiermee wordt de standaardbron opgegeven voor inhoud die niet expliciet is gedefinieerd door andere richtlijnen. Het fungeert als een terugvaloptie voor andere richtlijnen. |
| Afbeeldingsbron | Hiermee worden geldige bronnen voor afbeeldingen opgegeven. Bepaalt de domeinen waaruit afbeeldingen kunnen worden geladen. |
| Lettertypebron | Hiermee worden geldige bronnen voor lettertypen opgegeven. Wordt gebruikt om te bepalen uit welke domeinen weblettertypen kunnen worden geladen. |
| Scriptbron | Hiermee worden geldige bronnen voor JavaScript-code opgegeven. De scriptbron kan specifieke domeinen bevatten, 'self' voor dezelfde oorsprong, 'unsafe-inline' voor inline scripts en 'nonce-xyz' voor scripts met een specifieke nonce. Kies ervoor om nonce in te schakelen of unsafe eval te injecteren. Meer informatie op Beveiligingsbeleid voor inhoud van uw site beheren: eenmalig inschakelen |
| Stijlbron | Hiermee worden geldige bronnen voor opmaakmodellen opgegeven. Net als script-src kan het domeinen, 'self', 'unsafe-inline' en 'nonce-xyz' bevatten. |
| Bron verbinden | Hiermee worden geldige bronnen voor XMLHttpRequest, WebSocket of EventSource opgegeven. Hiermee bepaalt u voor welke domeinen de pagina netwerkverzoeken kan doen. |
| Mediabron | Hiermee worden geldige bronnen voor audio en video opgegeven. Wordt gebruikt om te bepalen uit welke media bronnen kunnen worden geladen. |
| Framebron | Hiermee worden geldige bronnen voor frames opgegeven. Bepaalt vanuit welke domeinen de pagina frames kan insluiten. |
| Frame-ancestors | Hiermee worden geldige bronnen opgegeven die de huidige pagina als frame kunnen insluiten. Bepaalt welke domeinen de pagina mogen insluiten. |
| Formulieractie | Hiermee worden geldige bronnen voor formulierinzendingen opgegeven. Hiermee worden de domeinen gedefinieerd waarnaar formuliergegevens kunnen worden verzonden. |
| Objectbron | Hiermee worden geldige bronnen voor de bronnen van het objectelement opgegeven, zoals Flash-bestanden of andere ingesloten objecten. Hiermee kan worden bepaald vanuit welke oorsprong deze objecten kunnen worden geladen. |
| Medewerkerbron | Hiermee worden geldige bronnen voor webwerkrollen, inclusief toegewijde werknemers, gedeelde werknemers en servicewerkers, opgegeven. Hiermee kan worden bepaald vanuit welke oorsprong deze werkrolscripts kunnen worden geladen en uitgevoerd. |
| Manifestbron | Hiermee worden geldige bronnen voor webwerkrollen, inclusief toegewijde werknemers, gedeelde werknemers en servicewerkers, opgegeven. Hiermee kan worden bepaald vanuit welke oorsprong deze werkrolscripts kunnen worden geladen en uitgevoerd. |
| Onderliggende bron | Hiermee worden geldige bronnen voor webwerkrollen, inclusief toegewijde werknemers, gedeelde werknemers en servicewerkers, opgegeven. Hiermee kan worden bepaald vanuit welke oorsprong deze werkrolscripts kunnen worden geladen en uitgevoerd. |
Voor elke richtlijn kunt u een specifieke URL, alle domeinen of geen kiezen.
Ga voor geavanceerde configuratie naar Beveiligingsbeleid voor inhoud van uw site beheren: Beveiligingsbeleid voor inhoud van uw site instellen.
CORS (Cross-Origin Resource Sharing) delen
CORS wordt door webbrowsers gebruikt om webtoepassingen die in het ene domein worden uitgevoerd, al dan niet toe te staan om resources op te vragen vanuit en toegang te krijgen tot een ander domein.
Richtlijnen
De volgende richtlijnen worden ondersteund.
| Richtlijn | Beschrijving | Waarde(n) |
|---|---|---|
| Toegang toestaan tot resources van de server | Hiermee kan de server beslissen welke oorsprong toegang krijgt tot de resources van die server. Oorsprongen kunnen domeinen, protocollen en poorten zijn. | Domein-URL's kiezen |
| Headers verzenden tijdens serveraanvragen | Deze instelling, die ook wel Access-Control-Allow-Headers wordt genoemd, helpt de headers te definiëren die kunnen worden verzonden in aanvragen van een andere oorsprong om toegang te krijgen tot resources op de server. | Kies specifieke headers met de volgende machtigingen Oorsprong Accepteren Autorisatie Inhoud – type |
| Headerwaarden weergeven in code aan de clientzijde | Deze richtlijn, ook bekend als Access-Control-Expose-Headers, instrueert de browser waarop responsheaders moeten worden weergegeven en toegankelijk moeten worden gemaakt voor de aanvragende code aan de clientzijde in cross-origin-verzoeken. | Kies specifieke headers met de volgende machtigingen Oorsprong Accepteren Autorisatie Inhoud – type |
| Methoden definiëren om toegang te krijgen tot resources | Deze instelling, die ook wel Access-Control-Allow-Methods wordt genoemd, helpt definiëren welke HTTP-methoden zijn toegestaan bij toegang tot resources op een server van een andere oorsprong. | GET - Vraagt gegevens op van een opgegeven resource POST - Verzendt gegevens die moeten worden verwerkt naar een opgegeven resource PUT - Een resource op een specifieke URL wordt bijgewerkt of vervangen HEAD - Hetzelfde als GET, maar haalt alleen de headers op en niet de daadwerkelijke inhoud PATCH - Wijzigt een resource gedeeltelijk OPTIONS - Vraagt om informatie over de beschikbare communicatieopties voor een resource of server DELETE - Verwijdert de opgegeven resource |
| Opgeven hoe lang resultaten van aanvragen in de cache worden opgeslagen | Deze instelling, die ook wel Access-Control-Max-Age wordt genoemd, bepaalt hoe lang de resultaten van een preflight-aanvraag in de cache kunnen worden opgeslagen door de browser. | De tijdsduur opgeven (seconden) |
| Toestaan dat de site referenties deelt | Deze instelling, die ook bekendstaat onder de naam Access-Control-Allow-Credentials, helpt bepalen of de site referenties (zoals cookies, autorisatieheaders of SSL-certificaten aan de clientzijde) kan delen bij aanvragen uit verschillende bronnen. | Ja/nee |
| De webpagina weergeven als iFrame uit dezelfde bron | Deze instelling, die ook wel X-Frame-Options wordt genoemd, staat toe dat de pagina alleen in een iframe wordt weergegeven als de aanvraag uit dezelfde bron afkomstig is. | Ja/nee |
| MIME-detectie blokkeren | Deze instelling, die ook wel X-Content-Type-Options: no-sniff wordt genoemd, voorkomt dat webbrowsers detectie van het MIME-type (content-type) uitvoeren of het inhoudstype van een resource raden. | Ja/nee |
Cookies configureren (CSP)
De Cookie-header in een HTTP-verzoek bevat informatie over cookies die eerder door een website in uw browser zijn opgeslagen. Wanneer u een website bezoekt, retourneert uw browser een Cookie-header met daarin alle relevante cookies die aan die site zijn gekoppeld naar de server.
Richtlijnen
De volgende richtlijnen worden ondersteund.
| Richtlijn | Beschrijving | Koptekst |
|---|---|---|
| Overdrachtsregels voor alle cookies | Beheer hoe cookies worden verzonden met cross-origin-verzoeken. Het is een beveiligingsfunctie die is gericht op het beperken van bepaalde soorten aanvraagvervalsing op meerdere sites (CSRF) en aanvallen op informatielekken. | Deze instelling komt overeen met de header SameSite/Default. |
| Overdrachtsregels voor specifieke cookies | Beheer hoe cookies worden verzonden met cross-origin-verzoeken. Het is een beveiligingsfunctie die is gericht op het beperken van bepaalde soorten aanvraagvervalsing op meerdere sites (CSRF) en aanvallen op informatielekken. | Deze instelling komt overeen met de cookies SameSite/Specific. |
Permissions-Policy (CSP) configureren
Met de header Permissions-Policy kunnen webontwikkelaars bepalen welke webplatformfuncties op een webpagina zijn toegestaan of geweigerd.
Richtlijnen
De volgende richtlijnen worden ondersteund en beheren de toegang tot hun respectievelijke API's.
- Accelerometer
- Ambient-Light-Sensor
- Automatisch afspelen
- Battery
- Camera
- Scherm
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfoon
- Midi
- Otp-Credentials
- Betaling
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Meer HTTP-headers configureren
Beveiligde verbinding via HTTPS toestaan
De instelling die overeenkomt met de HTTP Strict-Transport-Security-header informeert de browser dat deze alleen via HTTPS verbinding mag maken met de website, zelfs als de gebruiker http:// in de adresbalk invoert. Hiermee worden man-in-the-middle-aanvallen voorkomen door ervoor te zorgen dat alle communicatie met de server gecodeerd is en biedt bescherming tegen bepaalde soorten aanvallen, zoals aanvallen op protocoldowngrades en het kapen van cookies.
Notitie
Om veiligheidsredenen kan deze instelling niet worden gewijzigd.
Verwijzingsinformatie opnemen in HTTP-headers
De HTTP-header Referrer-Policy wordt gebruikt om te bepalen hoeveel informatie over de oorsprong van de aanvraag (verwijzersinformatie) wordt onthuld in de HTTP-headers wanneer een gebruiker van de ene pagina naar de andere navigeert. Deze header helpt bij het beheren van privacy- en beveiligingsaspecten met betrekking tot verwijzersinformatie.
| Weergegeven als | Beschrijving |
|---|---|
| Geen verwijzer | Geen verwijzer betekent dat er geen verwijzersinformatie in de headers wordt verzonden. Deze instelling is de meest privacybewuste optie. |
| Geen verwijzer bij downgrade | De volledige verwijzersinformatie wordt bij het navigeren van een HTTPS- naar een HTTP-site verzonden, maar alleen de oorsprong (geen pad of query) wordt verzonden bij het navigeren tussen HTTPS-sites. |
| Dezelfde oorsprong - Verwijzersbeleid | Bij Dezelfde oorsprong wordt de volledige verwijzersinformatie alleen verzonden als de aanvraag dezelfde oorsprong heeft. Bij cross-origin-aanvragen wordt alleen de herkomst verzonden. |
| Oorsprong | Oorsprong verzendt de oorsprong van de verwijzende persoon, maar geen pad- of query-informatie, zowel voor verzoeken van dezelfde oorsprong als van cross-origin-aanvragen. |
| Strikte oorsprong | Vergelijkbaar met oorsprong, maar verzendt alleen verwijzersgegevens voor aanvragen van dezelfde oorsprong. |
| Oorsprong bij cross-origin | Vergelijkbaar met oorsprong, maar verzendt alleen verwijzersgegevens voor aanvragen van dezelfde oorsprong. |