Delen via

Beveiligingsbeleid voor inhoud van uw site beheren

  • Artikel

Beveiligingsbeleid voor inhoud (CSP) is een extra beveiligingslaag die helpt bij het detecteren en beperken van bepaalde typen webaanvallen, zoals gegevensdiefstal, het beschadigen van sites of de verspreiding van malware. Inhoudsbeveiligingsbeleid biedt een uitgebreide set beleidsrichtlijnen om te bepalen welke resources een sitepagina mag laden. Elke richtlijn definieert de beperkingen voor een specifiek type resource.

Wanneer CSP is ingeschakeld voor een Power Pages-website, helpt het de site veiliger te maken door verbindingen, scripts, lettertypen en andere typen resources te blokkeren die afkomstig zijn van onbekende of schadelijke bronnen.

CSP is standaard uitgeschakeld. Websites kunnen echter CSP nodig hebben om andere beveiligingen te verbeteren.

Gebruik de app Portalbeheer om CSP te beheren.

De CSP van uw site instellen

  1. Meld u aan bij Power Pages en open uw site om te bewerken.

  2. Selecteer in het linkerdeelvenster Meer items () >Portalbeheer.

  3. Selecteer de optie Site-instellingen in het linkerdeelvenster van de app Portalbeheer.

  4. Maak of bewerk de site-instelling HTTP/Content-Security-Policy.

  5. Stel de waarden in die u nodig hebt van de CSP-verwijzing, gescheiden door puntkomma's, bijvoorbeeld script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Nonce inschakelen

Een nonce vertegenwoordigt een code, meestal numeriek, die is bedoeld om slechts één keer te worden gebruikt ("getal eenmaal"). Wanneer u een nonce gebruikt met de CSP van uw site, wordt een unieke cryptografische code gegenereerd en toegevoegd aan elk script dat is opgegeven in de CSP-header. Alleen inline scripts met een nonce-kenmerk dat overeenkomt met dat in de CSP mogen worden uitgevoerd. Scripts die een aanvaller mogelijk in de pagina heeft geïnjecteerd, worden geblokkeerd omdat het nonce-kenmerk ontbreekt. Meer informatie over het gebruik van een nonce met CSP.

Op Power Pages-sites ondersteunt nonce alleen inline scripts en inline gebeurtenishandlers.

Als u nonce wilt inschakelen voor uw site, voegt u de waarde script-src 'nonce'; toe aan de site-instelling HTTP/Content-Security-Policy. Een paar voorbeelden volgen.

  • Als u een strikt beleid wilt dat niet toestaat dat scripts worden geladen uit bronnen buiten een Power Pages-site, voegt u de volgende waarde toe aan de site-instelling HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Als u scripts van elke veilige bron wilt laden, voegt u de volgende waarde toe: script-src https: 'nonce'

Wanneer nonce is ingeschakeld, wordt unsafe-eval geïnjecteerd om de automatische evaluatie van onveilige code te ondersteunen. Als u de automatische injectie van unsafe-eval wilt uitschakelen, wijzigt u de site-instelling HTTP/Content-Security-Policy/Inject-unsafe-eval in False. Houd er rekening mee dat als injectie van unsafe-eval is uitgeschakeld, werkt de validatie van automatisch gegenereerde velden op basisformulieren of meerstapsformulieren mogelijk niet meer correct.