Ustawienia zaawansowane (wersja zapoznawcza)
[Ten temat stanowi wstępną wersję dokumentacji i może ulec zmianie].
Obszar roboczy zabezpieczeń pozwala na dalszą ochronę zawartości witryny i danych przed zagrożeniami bezpieczeństwa bezpośrednio w studio projektowym Power Pages. Skonfigurowanie ustawień zaawansowanego umożliwia szybkie i wydajne skonfigurowanie nagłówków HTTP witryny, skonfigurowanie zasad zabezpieczeń zawartości (CSP), udostępniania zasobów między pochodzenia (CORS), plików cookie, uprawnień i innych narzędzi.
Ważne
- Jest to funkcja w wersji zapoznawczej.
- Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.
- Zaloguj się do witryny Power Pages i otwórz ją do edycji.
- Wybierz Obszar roboczy zabezpieczeń z lewej nawigacji, a następnie wybierz opcję Ustawienia zaawansowane (wersja zapoznawcza)
Skonfiguruj zasady zabezpieczeń zawartości (CSP)
Zasady zabezpieczeń zawartości (CSP) są używane przez serwery sieci Web w celu wymuszania zestawu reguł zabezpieczeń dla strony sieci Web. Pomaga ona chronić witryny przed różnego typu atakami zabezpieczeń, takich jak skrypty między witrynami (XSS), atak na rodzaje danych i inne rodzaje ataków kodu.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Podpis |
|---|---|
| Źródło domyślne | Określa domyślne źródło zawartości, która nie jest jawnie zdefiniowana przez inne środowiska. Działa jako rezerwowy dla innych osób. |
| Źródło obrazu | Określa prawidłowe źródła obrazów. Steruje domenami, z których można ładować obrazy. |
| Źródło czcionek | Określa prawidłowe źródła czcionek. Używany do kontrolowania domen, z których można ładować czcionek sieci Web. |
| Źródło skryptów | Określa prawidłowe źródła kodu JavaScript. Źródło skryptu może zawierać określone domeny, „siebie” dla tego samego pochodzenia, „niebezpieczne-środwierszowe” dla skryptów w tekście i „jednokrotne-xyz” dla skryptów z określonym przypadkiem. Wybierz opcję włączania, aby włączyć, inne lub potencjalnie niebezpieczne, ewaluacja. Dowiedz się więcej Zarządzanie zasadami zabezpieczeń zawartości witryny: Włączanie nonce |
| Źródło stylów | Określa prawidłowe źródła arkuszy stylów. Podobnie jak skrypt-sdpowiedzialności, może zawierać domeny, „same”, „niebezpieczny-środwierszowy” i „jednokrotne-xyz”. |
| Połącz źródło | Określa prawidłowe źródła dla pliku XMLHttpRequest, WebSsourceet lub EventSource. Steruje domenami, do których strona może być żądaniami sieciowych. |
| Źródło multimediów | Określa prawidłowe źródła dźwiękowe i wideo. Używany do kontrolowania domen, z których można ładować zasobów multimedialnych. |
| Źródło ramek | Określa prawidłowe źródła ramek. Steruje domenami, z których strona może osadzać ramki. |
| Element nadrzędny ramki | Określa prawidłowe źródła, które mogą osadzać bieżącą stronę jako ramkę. Określa, które domeny mogą osadzać stronę. |
| Z akcji | Określa prawidłowe źródła przesyłania formularzy. Określa domeny, do których mogą być wysyłane dane formularza. |
| Źródło obiektów | Określa prawidłowe źródła zasobów elementu obiektu, takie jak pliki programu Flash lub inne obiekty osadzone. Pomaga to w kontroli pochodzenia tych obiektów, z których można ładować te obiekty. |
| Źródło procesów roboczych | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
| Źródło manifestów | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
| Źródło podrzędne | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
Dla każdej dyrektywy można wybrać określony adres URL, wszystkie domeny lub brak.
Aby uzyskać zaawansowane ustawienia konfiguracyjne, zobacz Zarządzanie zasadami zabezpieczeń zawartości witryny: Ustawienie CSP witryny.
Konfigurowanie udostępniania zasobów między pochodzenia (CORS)
Udostępnianie zasobów między źródłami (CORS) jest używane w przeglądarkach internetowych w celu zezwalania aplikacjom sieci web, które działają w jednej domenie, na żądanie zasobów z innej domeny i uzyskiwanie do nich dostępu, albo blokowania im tej możliwości.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Podpis | Wartości |
|---|---|---|
| Zezwalaj na uzyskiwanie dostępu do zasobów z serwera | Znana także jako Kontrola dostępu do źródła pochodzenia pomaga określić, do których pochodzenia mogą mieć dostęp. Pochodzenia mogą to być domeny, protokoły i porty. | Wybieranie adresów URL domeny |
| Wysyłaj nagłówki podczas realizacji żądań serwera | Ustawienie znane też pod nazwą Access-Control-Allow-Headers ułatwia definiowanie nagłówków, które mogą być wysyłane w żądaniach z innego źródła w celu uzyskania dostępu do zasobów na serwerze. | Wybierz określone nagłówki z następującymi uprawnieniami Pochodzenia Zaakceptuj Autoryzacja Zawartość — wpisz |
| Uwidocznij wartości nagłówków w kodzie po stronie klienta | Ta dyrektywy, znana również jako Nagłówki dostępu-kontrola dostępu, instruuje przeglądarkę, w której nagłówki odpowiedzi powinny być uwidocznione i dostępne dla żądających kodu po stronie klienta w żądaniach między pochodzeniami. | Wybierz określone nagłówki z następującymi uprawnieniami Pochodzenia Zaakceptuj Autoryzacja Zawartość — wpisz |
| Definiuj metody dostępu do zasobów | Ustawienie znane też pod nazwą Access-Control-Allow-Methods ułatwia określanie, które metody HTTP są dozwolone podczas uzyskiwania dostępu do zasobów na serwerze z innego źródła. | GET —Żądania danych z określonego wpisu zasobów POST — przesyła dane, które mają być przetwarzane do określonego zasobu PUT — aktualizuje lub zastępuje zasób pod określonym adresem URL HEAD — taki sam jak GET, ale pobiera tylko nagłówki, a nie rzeczywistą zawartość PATCH — częściowo modyfikuje opcje zasobu OPTIONS — Żąda informacji o opcjach komunikacji dostępnych dla zasobu lub serwera DELETE — Usuwa określony zasób |
| Określ czas trwania buforowania wyników żądania | Ustawienie znane też pod nazwą Access-Control-Max-Age pomaga zdefiniować czas, przez jaki przeglądarka może buforować wyniki żądania wstępnej kontroli. | Określ czas trwania w razach (sekundy) |
| Zezwalaj witrynie na udostępnianie poświadczeń | Ustawienie znane też pod nazwą Access-Control-Allow-Credentials pomaga określić, czy witryna może udostępniać poświadczenia, takie jak pliki cookie, nagłówki autoryzacji lub certyfikaty SSL po stronie klienta, podczas realizacji żądań obejmujących wiele źródeł. | Tak/Nie |
| Wyświetlaj stronę internetową jako ramkę iFrame z tego samego źródła | Ustawienie znane też pod nazwą X-Frame-Options umożliwia wyświetlanie strony w ramce iFrame tylko wtedy, gdy żądanie pochodzi z tego samego źródła. | Tak/Nie |
| Blokuj wykrywanie typów MIME | Ustawienie znane też pod nazwą X-Content-Type-Options: no-sniff pomaga uniemożliwiać przeglądarkom internetowym wykonywanie operacji wykrywania typów MIME (content-type) lub „zgadywania” typu zawartości zasobu. | Tak/Nie |
Konfigurowanie plików cookie (CSP)
Nagłówek pliku cookie zawartego w żądaniu protokołu HTTP zawiera informacje o plikach cookie przechowywanych wcześniej przez witrynę sieci Web w przeglądarce użytkownika. Podczas wizyty w witrynie internetowej przeglądarka wysyła do serwera nagłówek pliku cookie zawierający wszystkie odpowiednie pliki cookie skojarzone z tą witryną.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Podpis | Nagłówek |
|---|---|---|
| Reguły przenoszenia dla wszystkich plików cookie | Kontrola sposobu rozsyłania plików cookie w przypadku żądań między pochodzeniami. Jest to funkcja zabezpieczeń mająca na celu forsowanie niektórych typów fałszowania żądań między witrynami (CSRF) oraz ataków na informacje. | To ustawienie odpowiada nagłówkowi SamaStrona/Domyślnie. |
| Reguły przenoszenia dla określonych plików cookie | Kontrola sposobu rozsyłania plików cookie w przypadku żądań między pochodzeniami. Jest to funkcja zabezpieczeń mająca na celu forsowanie niektórych typów fałszowania żądań między witrynami (CSRF) oraz ataków na informacje. | To ustawienie odpowiada nagłówkowi SamaStrona/Określony plik cookie. |
Konfigurowanie zasad uprawnień (CSP)
Nagłówek Permissions-Policy pozwala twórcom stron internetowych kontrolować, które funkcje platformy internetowej są dozwolone lub zabronione na stronie internetowej.
Dyrektywy
Następujące elementy są obsługiwane i sterują dostępem do odpowiednich interfejsów API.
- Accelerometer
- Ambient-Light-Sensor
- Autoodtwarzanie
- Battery
- Kamera
- Wyświetl
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Płatność
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Skonfiguruj więcej nagłówków HTTP
Zezwalaj na bezpieczne połączenie za pośrednictwem protokołu HTTPS
Ustawienie odpowiadające nagłówkowi HTTP -Transport-Security informuje przeglądarkę, że ma się łączyć z witryną sieci Web tylko za pośrednictwem protokołu HTTPS, nawet jeśli na pasku adresu użytkownik wprowadzi wartość „http://”. Pomaga to zapobiec atakom typu man-in-the-middle, zapewniając, że cała komunikacja z serwerem jest szyfrowana i chroni przed pewnymi typami ataków, np. atakami obniżenia jakości protokołu i przetwarzaniem plików cookie.
Uwaga
Ze względów bezpieczeństwa nie można zmodyfikować tego ustawienia.
Uwzględniaj informacje o źródle odwołania w nagłówkach HTTP
Nagłówek HTTP zasady strony odsyłającyj służy do kontrolowania, ile informacji o po pochodzenia żądania (informacje odwołujące się) jest ujawniane w nagłówkach HTTP, gdy użytkownik przechodzi z jednej strony na inną. Ten nagłówek ułatwia kontrolowanie aspektów prywatności i zabezpieczeń związanych z informacjami odsyłającymi.
| Wartość | Podpis |
|---|---|
| Brak źródła odwołania | Brak informacji odwołującej się do użytkownika oznacza, że w nagłówkach nie są wysyłane żadne informacje o stronie odwołującej się. To ustawienie jest opcją, która najczęściej dotyczy ochrony prywatności. |
| Brak źródła odwołania przy zmianie na starszą lub mniej zaawansowaną wersję | Podczas nawigowania między witrynami HTTPS do witryny HTTP są wysyłane pełne informacje odwołujące się do tego adresu, ale tylko pochodzenia (brak ścieżki ani zapytania). |
| Te same pochodzenia — zasady odwołań | To samo pochodzenia powoduje wysłanie pełnych informacji odsyłających tylko wtedy, gdy żądanie dotyczy tego samego pochodzenia. W przypadku żądań pochodzenia między pochodzenia wysyłane są tylko pochodzenia. |
| Pochodzenie | Pochodzenia wysyła pochodzenia odwołującego się, ale nie zawiera informacji o ścieżkach i zapytaniach, zarówno w przypadku żądań pochodzenia samego, jak i między pochodzenia. |
| Ścisłe źródło | Podobnie jak w przypadku źródła, ale wysyła informacje dotyczące źródła odwołania tylko w przypadku żądań z tego samego źródła. |
| Źródło w przypadku użycia wielu źródeł | Podobnie jak w przypadku źródła, ale wysyła informacje dotyczące źródła odwołania tylko w przypadku żądań z tego samego źródła. |