Problemas de segurança (versão preliminar)
[Este tópico faz parte da documentação de pré-lançamento e está sujeito a alterações.]
Neste artigo, você aprenderá sobre os resultados de diagnóstico do Verificador de Sites em relação aos problemas de segurança.
Importante
- Esse é um recurso de versão preliminar.
- Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos são disponibilizados antes de um lançamento oficial para que os clientes possam ter acesso antecipado e forneçam comentários.
Web Application Firewall habilitado
Habilite o Web Application Firewall para proteger seu site. Mais informações: Configurar Web Application Firewall for Power Pages (versão preliminar)
Acesso anônimo a tabelas do Dataverse
Essa verificação falhará se houver uma ou mais permissões de tabela que permitam que usuários anônimos acessem dados do Dataverse. Revise as permissões da tabela e remova o acesso de usuário anônimo, a menos que seu caso de uso exija acesso anônimo. Mais informações: Configurando permissões de tabela
Validação de modelo da Web
A Validação de modelo da Web que é ativada por padrão e impede que scripts maliciosos sejam executados em seu site. Essa verificação falha quando a validação de modelo da Web está desabilitada. Você pode ativar a Validação de Modelo da Web removendo a configuração "DisableValidationWebTemplate" ou definindo o valor como falso. Mais informações: Configurar as configurações do site para sites
Cabeçalhos HTTP
As configurações de local a seguir são usadas para configurar CORS e seus valores recomendados. Revise e mude os cabeçalhos para os valores recomendados, a menos que seu caso de uso determine o contrário.
| Verificação de segurança | Configuração do site | Valor recomendado |
|---|---|---|
| Restrição de Access-Control-Allow-Origin | HTTP/Access-Control-Allow-Origin | Falso ou remova a configuração |
| Restrição de Access-Control-Allow-Credentials | HTTP/Access-Control-Allow-Credentials | Falso ou remova a configuração |
| Política de Segurança de Conteúdo | HTTP/Content-Security-Policy | script-src https: 'nonce' |
| Configuração de X-Frame-Options | HTTP/X-Frame-Options | SAMEORIGIN ou DENY |
| Configuração de HTTP/X-Content-Type-Options | HTTP/X-Content-Type-Options | nosniff |