Configurações avançadas (versão preliminar)
[Este tópico faz parte da documentação de pré-lançamento e está sujeito a alterações.]
O espaço de trabalho Segurança permite que você proteja ainda mais o conteúdo e os dados do site contra ameaças à segurança, diretamente do estúdio de design do Power Pages. Use as Configurações avançadas para configurar cabeçalhos HTTP de seu site de forma rápida e eficiente, configurar a Política de Segurança de Conteúdo (CSP), o Compartilhamento de Recursos entre Origens (CORS), cookies, permissões e muito mais.
Importante
- Este é um recurso em versão preliminar.
- Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos são disponibilizados antes de um lançamento oficial para que os clientes possam ter acesso antecipado e forneçam comentários.
- Entre no Power Pages e abra seu site para edição.
- Selecione Espaço de Trabalho de Segurança na navegação à esquerda e escolha Configurações avançadas (versão preliminar).
Configurar CSP (Política de Segurança de Conteúdo)
A Política de Segurança de Conteúdo (CSP), é usada por servidores Web para impor um conjunto de regras de segurança para uma página da Web. ElA ajuda a proteger os sites contra vários tipos de ataques de segurança, como cross-site scripting (XSS), injeção de dados e outros ataques de injeção de código.
Diretivas
As seguintes diretivas são compatíveis.
| Diretiva | Descrição |
|---|---|
| Fonte padrão | Especifica a fonte padrão para conteúdo não definido explicitamente por outras diretivas. Funciona como um fallback para outras diretivas. |
| Origem da imagem | Especifica fontes válidas para imagens. Controla os domínios dos quais as imagens podem ser carregadas. |
| Origem da fonte | Especifica fontes válidas para fontes. Usada para controlar os domínios dos quais as fontes da web podem ser carregadas. |
| Fonte do script | Especifica fontes válidas para código JavaScript. A origem do script pode incluir domínios específicos, 'self' para a mesma origem, 'unsafe-inline' para scripts embutidos e 'nonce-xyz' para scripts com um nonce específico. Opte por habilitar nonce ou injetar unsafe-eval. Saiba mais em Gerenciar sua Política de Segurança de Conteúdo: Ativar uma vez |
| Fonte de estilo | Especifica fontes válidas para planilhas. Semelhante ao script-src, ela pode incluir domínios, 'self', 'unsafe-inline' e 'nonce-xyz'. |
| Conectar fonte | Especifica fontes válidas para XMLHttpRequest, WebSocket ou EventSource. Controla os domínios para os quais a página pode fazer solicitações de rede. |
| Fonte de mídia | Especifica fontes válidas para áudio e vídeo. Usada para controlar os domínios dos quais os recursos de mídia podem ser carregados. |
| Fonte de quadro | Especifica fontes válidas para quadros. Controla os domínios dos quais a página pode incorporar quadros. |
| Antecedentes do Quadro | Especifica fontes válidas que podem incorporar a página atual como um quadro. Controla quais domínios têm permissão para incorporar a página. |
| Ação para Formulário | Especifica fontes válidas para envios de formulário. Define os domínios para os quais os dados de formulário podem ser enviados. |
| Fonte de objeto | Especifica fontes válidas para os recursos do elemento do objeto, como arquivos Flash ou outros objetos incorporados. Ela ajuda a controlar de quais origens esses objetos podem ser carregados. |
| Fonte do trabalhador | Especifica fontes válidas para web workers, incluindo trabalhadores dedicados, trabalhadores compartilhados e trabalhadores de serviço. Ela ajuda a controlar de quais origens esses scripts de trabalhador podem ser carregados e executados. |
| Fonte do manifesto | Especifica fontes válidas para web workers, incluindo trabalhadores dedicados, trabalhadores compartilhados e trabalhadores de serviço. Ela ajuda a controlar de quais origens esses scripts de trabalhador podem ser carregados e executados. |
| Fonte filha | Especifica fontes válidas para web workers, incluindo trabalhadores dedicados, trabalhadores compartilhados e trabalhadores de serviço. Ela ajuda a controlar de quais origens esses scripts de trabalhador podem ser carregados e executados. |
Para cada diretiva, você pode escolher a URL específica, todos os domínios ou nenhum.
Para obter configurações avançadas, acesse Gerenciar a Política de Segurança de Conteúdo do seu site: Definir CSP de seu site.
Configurar CORS (Compartilhamento de Recursos entre Origens)
O Compartilhamento de Recursos entre Origens (CORS), é usado por navegadores da Web para permitir ou restringir que aplicativos Web executados em um domínio solicitem e acessem recursos de outro domínio.
Diretivas
As seguintes diretivas são compatíveis.
| Diretiva | Descrição | Valor(es) |
|---|---|---|
| Permitir acesso a recursos do servidor | Também conhecido como Access-Control-Allow-Origin, ajuda o servidor a decidir quais origens têm permissão para acessar seus recursos. As origens podem ser domínios, protocolos e portas. | Escolher URLs de domínio |
| Enviar cabeçalhos durante solicitações do servidor | Também conhecido como Access-Control-Allow-Headers, ajuda a definir os cabeçalhos que podem ser enviados em solicitações de uma origem diferente para acessar recursos no servidor. | Escolha cabeçalhos específicos com as seguintes permissões Origem Aceitar Autorização Conteúdo - tipo |
| Expor valores de cabeçalho no código do lado do cliente | Também conhecida como Access-Control-Expose-Headers, essa diretiva instrui o navegador em quais cabeçalhos de resposta devem ser expostos e disponibilizados ao código do lado do cliente solicitante em solicitações de origem cruzada. | Escolha cabeçalhos específicos com as seguintes permissões Origem Aceitar Autorização Conteúdo - tipo |
| Definir métodos para acessar recursos | Também conhecido como Access-Control-Allow-Methods, ajuda a definir quais métodos HTTP são permitidos ao acessar recursos em um servidor de uma origem diferente. | GET - Solicita dados de um recurso especificado POST - Envia dados a serem processados para um recurso especificado PUT - Atualiza ou substitui um recurso em uma URL específica HEAD - O mesmo que GET, mas recupera apenas os cabeçalhos e não o conteúdo real PATCH - Modifica parcialmente um recurso OPTIONS - Solicita informações sobre as opções de comunicação disponíveis para um recurso ou servidor DELETE - Exclui o recurso especificado |
| Especifique a duração para armazenar em cache os resultados da solicitação | Também conhecido como Access-Control-Max-Age, ajuda a definir a duração pela qual os resultados de uma solicitação de simulação podem ser armazenados em cache pelo navegador. | Especificar duração em hora (segundos) |
| Permitir que o site compartilhe credenciais | Também conhecido como Access-Control-Allow-Credentials, ajuda a definir se o site pode compartilhar credenciais, como cookies, cabeçalhos de autorização ou certificados SSL do lado do cliente, durante solicitações de origem cruzada. | Sim/Não |
| Exibir página da Web como um iFrame da mesma origem | Também conhecido como X-Frame-Options, permite que a página seja exibida em um iframe somente se a solicitação vier da mesma origem. | Sim/Não |
| Bloquear detecção de MIME | Também conhecido como X-Content-Type-Options: no-sniff, isso ajuda a impedir que os navegadores da Web executem a detecção de tipo MIME (tipo de conteúdo) ou adivinhem o tipo de conteúdo de um recurso. | Sim/Não |
Configurar cookies (CSP)
O cabeçalho Cookie em uma solicitação HTTP contém informações sobre cookies armazenados anteriormente por um site em seu navegador. Quando você visita um site, seu navegador envia um cabeçalho de cookie contendo todos os cookies relevantes associados a esse site de volta para o servidor.
Diretivas
As seguintes diretivas são compatíveis.
| Diretiva | Descrição | Cabeçalho |
|---|---|---|
| Regras de transferência para todos os cookies | Controle como os cookies são enviados com solicitações de origem cruzada. É um recurso de segurança destinado a mitigar certos tipos de solicitação intersite forjada (CSRF) e ataques de vazamento de informações. | Essa configuração corresponde ao cabeçalho SameSite/Default. |
| Regras de transferência para cookies específicos | Controle como os cookies são enviados com solicitações de origem cruzada. É um recurso de segurança destinado a mitigar certos tipos de solicitação intersite forjada (CSRF) e ataques de vazamento de informações. | Essa configuração corresponde ao cookie do cabeçalho SameSite/Specific. |
Configurar Permissões-Política (CSP)
O cabeçalho Permissões-Política permite que os desenvolvedores da Web controlem quais recursos da plataforma da Web são permitidos ou negados em uma página da Web.
Diretivas
As diretivas a seguir têm suporte e controlam o acesso às respectivas APIs.
- Accelerometer
- Ambient-Light-Sensor
- Reproduzir automaticamente
- Battery
- Câmera
- Tela
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfone
- Midi
- Otp-Credentials
- Pagamento
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurar mais Cabeçalhos HTTP
Permitir conexão segura via HTTPS
A configuração correspondente ao cabeçalho HTTP Strict-Transport-Security informa ao navegador que ele só deve se conectar ao site por HTTPS, mesmo que o usuário digite "http://" na barra de endereços. Ela ajuda a prevenir ataques man-in-the-middle, garantindo que toda a comunicação com o servidor seja criptografada e proteja contra certos tipos de ataques, como ataques de downgrade de protocolo e sequestro de cookies.
Observação
Por motivos de segurança, essa configuração não pode ser modificada.
Incluir informações de referência em cabeçalhos HTTP
O cabeçalho HTTP da Política de Referência é usado para controlar quantas informações sobre a origem da solicitação (informações de referência) são divulgadas nos cabeçalhos HTTP quando um usuário navega de uma página para outra. Este cabeçalho ajuda a controlar aspectos de privacidade e segurança relacionados às informações de referência.
| Valor | Descrição |
|---|---|
| Sem referenciador | Não-referenciador significa que nenhuma informação de referência é enviada nos cabeçalhos. Essa configuração é a opção mais consciente da privacidade. |
| Nenhum referenciador ao fazer downgrade | Ela envia as informações completas do referenciador ao navegar de um HTTPS para um site HTTPS, mas somente a origem (sem caminho ou consulta) ao navegar entre sites HTTPS. |
| Mesma Origem - Política de Referência | A mesma origem envia as informações completas do referenciador somente quando a solicitação é para a mesma origem. Para solicitações de origem cruzada, somente a origem é enviada. |
| Origem | A origem envia a origem do referenciador, mas nenhum caminho ou informações de consulta, tanto para solicitações de mesma origem quanto para solicitações de origem cruzada. |
| Origem Estrita | Semelhante à origem, mas só envia informações de referenciador para solicitações de mesma origem. |
| Origem durante a origem cruzada | Semelhante à origem, mas só envia informações de referenciador para solicitações de mesma origem. |