Udostępnij za pośrednictwem

Zarządzanie zasadami zabezpieczeń zawartości witryny

  • Artykuł

Polityka bezpieczeństwa treści (CSP) to dodatkowa warstwa zabezpieczeń, która pomaga wykrywać i łagodzić niektóre rodzaje ataków internetowych, takie jak kradzież danych, uszkadzanie witryny lub rozpowszechnianie złośliwego oprogramowania. Dostawca CSP udostępnia obszerny zestaw dyrektyw zasad, które pomagają kontrolować zasoby, które może ładować strona witryny. Każda dyrektywa definiuje ograniczenia dla określonego typu zasobu.

Gdy system CSP jest włączone dla witryny Power Pages, ułatwia zablokowanie połączeń, skryptów, czcionek i innych typów zasobów pochodzących z nieznanych lub złośliwych źródeł.

Domyślnie CSP jest wyłączone. Jednak witryny sieci Web mogą wymagać CSP w celu zwiększenia bezpieczeństwa.

Za pomocą aplikacji Zarządzanie portalami można zarządzać CSP.

Ustaw witrynę CSP

  1. Zaloguj się do witryny Power Pages i otwórz ją do edycji.

  2. Po lewej stronie, wybierz Więcej pozycji () >Zarządzanie portalami.

  3. W aplikacji Zarządzanie portalami wybierz panel po lewej stronie, wybierz opcję Ustawienia witryny.

  4. Utwórz lub edytuj ustawienie witryny HTTP/Content-Security-Policy.

  5. Ustaw potrzebne wartości od odwołania do CSP, oddzielając je średnikami; np. script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Włączanie jednorazowości

Jednorazowość reprezentuje kod, zazwyczaj liczbowy, który może być używany tylko raz („jednokrotna liczba”). Gdy wraz z programem CSP witryny zostanie dodany unikatowy kod kryptograficzny, który jest dodawany do każdego skryptu określonego w nagłówku narzędzia CSP. Mogą być uruchamiane tylko skrypty wbudowane, które mają atrybut jednorazowości, który odpowiada atrybutowi w CSP. Skrypty, które mogą zostać wstawione na stronie przez hakera, zostały zablokowane, ponieważ nie zawierają atrybutu jednokrotnego. Dowiedz się więcej o używaniu jednokrotności z usługą CSP

W witrynach Power Pages brak obsługi skryptów w tekście i programach obsługi zdarzeń w tekście.

Aby włączyć nonce dla witryny, dodaj skrypt script-src 'nonce'; do ustawienia witryny HTTP/Content-Security-Policy. Poniżej przedstawiono kilka przykładów.

  • Jeśli chcesz mieć zasady zabezpieczeń, które nie zezwalają na ładowanie skryptów ze źródeł spoza witryny Power Pages, dodaj następującą wartość do ustawienia witryny HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Aby załadować skrypty z dowolnego bezpiecznego źródła, dodaj następującą wartość: script-src https: 'nonce'

Po włączeniu jednokrotności, unsafe-eval jest przechowane w celu obsługi automatycznej oceny niebezpiecznego kodu. Aby wyłączyć funkcję automatycznego wykrywania unsafe-eval, należy zmienić ustawienie witryny HTTP/Content-Security-Policy/Inject-unsafe-eval na Fałsz. Należy pamiętać, że po wyłączeniu wstrzykiwania unsafe-eval weryfikacja automatycznie generowanych pól w podstawowych lub wielokrokowych formularzach może nie działać prawidłowo.