Partilhar via

Gerir a Política de Segurança de Conteúdos

  • Artigo

Nota

A partir de 12 de outubro de 2022, os portais do Power Apps passam a ser Power Pages. Mais informações: O Microsoft Power Pages está agora em disponibilidade geral (blogue)
Em breve, vamos migrar e unir a documentação dos portais do Power Apps com a documentação do Power Pages.

A Política de Segurança de Conteúdos (CSP) é uma camada adicional de segurança que ajuda a detetar e a mitigar alguns tipos de ataques Web, tais como roubo de dados, degradação de sites ou a distribuição de malware. A CSP fornece um extenso conjunto de diretivas de política que ajudam a controlar os recursos que uma página de site tem permissão para carregar. Cada diretiva define as restrições de um tipo específico de recurso.

Quando a CSP está ativada para um site de portais, ajuda a melhorar a segurança ao bloquear ligações, scripts, tipos de letra e outros tipos de recursos provenientes de origens desconhecidas ou maliciosas. Por predefinição, a CSP está desativada em portais; no entanto, muitos sites poderão requerer a CSP para melhorar outra segurança.

Para mais informações sobre a CSP, aceda a Referência da Política de Segurança de Conteúdos.

Configurar CSP

  1. Inicie sessão no Power Apps.

  2. Certifique-se de que está no ambiente onde o portal existe.

  3. No painel esquerdo, selecione Aplicações e, em seguida, selecione a aplicação Gestão de Portais.

    A opção do menu Aplicações para o Power Apps, com a aplicação Gestão de Portais selecionada.

  4. No painel esquerdo, selecione Definições do Site.

  5. Crie (ou atualize) a definição do site HTTP/Content-Security-Policy e defina os valores de que necessita da página referência da CSP separados por pontos e vírgulas.

    Exemplo

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    A opção do menu Definições do Site para o Power Apps.

Ativar nonce

A ativação de nonce (número utilizado uma vez) bloqueará a execução de todos os scripts inline, exceto os especificados no script inline. É gerado e adicionado um nonce criptográfico a cada script especificado no cabeçalho da CSP. Em portais, nonce suporta apenas scripts inline e processadores de eventos inline. Para mais informações sobre nonce, aceda a Utilizar um nonce com a CSP.

Para ativar o nonce em portais, adicione o valor script-src 'nonce'; às definições de site HTTP/Content-Security-Policy.

Exemplos

Se quiser uma política estrita e não quiser permitir o carregamento de scripts a partir de origens fora de portais, utilize o seguinte:

script-src 'self' content.powerapps.com 'nonce'

Se pretende carregar scripts a partir de qualquer origem protegida, utilize o seguinte:

script-src https: 'nonce'

Nota

  • Quando o nonce estiver ativado, unsafe-eval será injetado automaticamente para suportar a avaliação automática de código não seguro. Para desativar a injeção automática de unsafe-eval, adicione a definição de site HTTP/Content-Security-Policy/Inject-unsafe-eval como false.
  • Se a injeção de unsafe-eval estiver desativada, a validação de campos gerados automaticamente em formulários básicos ou avançados poderá deixar de funcionar corretamente.