Zarządzanie zasadami zabezpieczeń zawartości

Uwaga

12 października 2022 r. funkcja Portale usługi Power Apps została przekształcona w usługę Power Pages. Więcej informacji: Usługa Microsoft Power Pages jest teraz ogólnie dostępna (blog)
Wkrótce zmigrujemy i scalimy dokumentację funkcji Portale usługi Power Apps z dokumentacją usługi Power Pages.

Polityka bezpieczeństwa treści (CSP) to dodatkowa warstwa zabezpieczeń, która pomaga wykrywać i łagodzić niektóre rodzaje ataków internetowych, takie jak kradzież danych, uszkadzanie witryny lub rozpowszechnianie złośliwego oprogramowania. Dostawca CSP udostępnia obszerny zestaw dyrektyw zasad, które pomagają kontrolować zasoby, które może ładować strona witryny. Każda dyrektywa definiuje ograniczenia dla określonego typu zasobu.

Włączenie dostawcy CSP dla witryny portalu pomaga zwiększyć bezpieczeństwo, blokując połączenia, skrypty, czcionki i inne rodzaje zasobów pochodzących z nieznanych lub złośliwych źródeł. CSP jest domyślnie wyłączony w portalach; jednak wiele stron internetowych może wymagać CSP w celu zwiększenia innych zabezpieczeń.

Aby uzyskać więcej informacji o CSP, zobacz Odniesienie do polityki bezpieczeństwa treści.

Konfiguruj CSP

  1. Zaloguj się do usługi Power Apps.

  2. Upewnij się, że jesteś w odpowiednim środowisku, w którym istnieje portal.

  3. Wybierz Aplikacje w lewym okienku nawigacji, a następnie zlokalizuj aplikację zarządzania portalami Zarządzanie portalem.

    Opcja menu Aplikacje dla wybranej Power Apps z aplikacją Zarządzanie portalami.

  4. W lewym okienku wybierz Ustawienia witryny.

  5. Utwórz lub zaktualizuj ustawienie witryny HTTP/Content-Security-Policy i ustaw wymagane wartości wymienione w odwołaniu do CSP rozdzielone średnikami.

    Przykład

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Opcja menu Ustawienia witryny dla Power Apps.

Włącz identyfikator jednorazowy (Nonce)

Włączenie nonce (numer użyty raz) spowoduje zablokowanie wykonywania wszystkich skryptów wbudowanych z wyjątkiem tych określonych w skrypcie wbudowanym. Do każdego skryptu określonego w nagłówku CSP generowany jest unikalny kod kryptograficzny. Nonce w portalach obsługuje tylko wbudowane skrypty i wbudowane programy obsługi zdarzeń. Aby uzyskać więcej informacji nonce, zobacz Korzystanie z systemu nonce w przypadku CSP.

Aby włączyć Nonce w portalach, dodaj wartość script-src 'nonce'; do ustawień witryny HTTP/Content-Security-Policy.

Przykłady

Jeśli chcesz mieć ścisłą politykę i nie chcesz zezwalać na ładowanie skryptów ze źródeł spoza portali, użyj następujących:

script-src 'self' content.powerapps.com 'nonce'

Jeśli chcesz załadować skrypty z dowolnego bezpiecznego źródła, użyj następującego:

script-src https: 'nonce'

Uwaga

  • Gdy wartość nonce jest włączona, unsafe-eval zostanie automatycznie wstrzyknięty w celu obsługi automatycznej oceny niebezpiecznego kodu. Aby wyłączyć automatyczne wstrzykiwanie unsafe-eval, zaktualizuj ustawienie witryny HTTP/Content-Security-Policy/Inject-unsafe-eval na false.
  • Jeśli wstrzykiwanie unsafe-eval jest wyłączone, weryfikacja automatycznie generowanych pól w formularzach podstawowych lub zaawansowanych może nie działać poprawnie.