Compartilhar via

Gerenciar a Política de Segurança de Conteúdo de seu site

  • Artigo

A Política de Segurança de Conteúdo (CSP) é uma camada extra de segurança que ajuda a detectar e mitigar alguns tipos de ataques na Web, como roubo de dados, descaracterização de sites ou distribuição de malware. A CSP fornece um amplo conjunto de diretivas de política que ajudam a controlar os recursos que uma página do site pode carregar. Cada diretiva define as restrições para um tipo específico de recurso.

Quando a CSP é ativada para um site do Power Pages, ela ajuda a tornar o site mais seguro, bloqueando conexões, scripts, fontes e outros tipos de recursos originados de fontes desconhecidas ou mal-intencionadas.

CSP é desativado por padrão. No entanto, os sites podem exigir CSP para aprimorar outras seguranças.

Use o aplicativo Gerenciamento do Portal para gerenciar CSP.

Defina sua CSP do site

  1. Entre no Power Pages e abra seu site existente para edição.

  2. No painel lateral esquerdo, selecione Mais itens () >Gerenciamento do Portal.

  3. No painel do lado esquerdo do aplicativo Gerenciamento de Portal, selecione Configurações do Site.

  4. Crie ou edite a configuração do site HTTP/Content-Security-Policy.

  5. Defina os valores que você precisa na Referência CSP, separados por ponto e vírgula; por exemplo, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Ativar nonce

Um nonce representa um código, geralmente numérico, que deve ser usado apenas uma vez ("número uma vez"). Quando você usa um nonce com a CSP do seu site, um código criptográfico exclusivo é gerado e adicionado a cada script especificado no cabeçalho da CSP. Somente scripts em linha que possuem um atributo nonce que corresponda ao da CSP podem ser executados. Os scripts que um invasor pode ter injetado na página são bloqueados porque não incluem o atributo nonce. Saiba mais sobre como usar um nonce com CSP.

Nos sites do Power Pages, o nonce só oferece suporte a scripts em linha e manipuladores de eventos em linha.

Para ativar o nonce para seu site, adicione o valor script-src 'nonce'; às configurações do site HTTP/Content-Security-Policy. Seguem alguns exemplos.

  • Se você quiser uma política estrita que não permita que scripts sejam carregados de fontes fora de um site do Power Pages, adicione o seguinte valor à configuração do site HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Se você quiser carregar scripts de qualquer fonte segura, adicione o seguinte valor: script-src https: 'nonce'

Quando o nonce está ativado, unsafe-eval é injetado para dar suporte à avaliação automática de código não seguro. Para desativar a injeção automática de unsafe-eval, altere a configuração do site HTTP/Content-Security-Policy/Inject-unsafe-eval para Falso. Lembre-se de que, se a injeção unsafe-eval estiver desativada, a validação dos campos gerados automaticamente em formulários básicos ou de várias etapas podem não funcionar mais corretamente.