Partilhar via


Definições avançadas (pré-visualização)

[Este tópico é documentação de pré-lançamento e está sujeito a alterações.]

A área de trabalho Segurança permite-lhe proteger ainda mais o conteúdo e os dados do seu site contra ameaças de segurança, diretamente do estúdio de design do Power Pages. Utilize Definições avançadas para configurar cabeçalhos HTTP do seu site de forma rápida e eficiente, configure a Política de Segurança de Conteúdo (CSP), a Partilha de Recursos de Origem Cruzada (CORS), cookies, permissões e muito mais.

Importante

  • Esta é uma funcionalidade de pré-visualização.
  • As caraterísticas de pré-visualização não se destinam à produção e poderão ter caraterísticas restritas. Estas caraterísticas estão disponíveis antes do lançamento oficial, para que os clientes possam ter acesso antecipado e enviar comentários.
  1. Inicie sessão no Power Pages e abra o seu site para edição.
  2. Selecione Área de Trabalho de Segurança no painel de navegação esquerdo e, em seguida, escolha Definições avançadas (pré-visualização).

Configurar a Política de Segurança de Conteúdo (CSP)

A Política de Segurança de Conteúdo (CSP) é utilizada por servidores Web para impor um conjunto de regras de segurança para uma página web. Ajuda a proteger sites contra vários tipos de ataques de segurança, como scripting entre sites (XSS), injeção de dados e outros ataques de injeção de código.

Diretivas

São suportadas as seguintes diretivas.

Diretiva Descrição
Origem predefinida Especifica a origem predefinida do conteúdo não explicitamente definido por outras diretivas. Funciona como uma alternativa para outras diretivas.
Origem de imagem Especifica as origens válidas para as imagens. Controla os domínios a partir dos quais as imagens podem ser carregadas.
Origem de tipos de letra Especifica as origens válidas para os tipos de letra. Usada para controlar os domínios a partir dos quais os tipos de letra da web podem ser carregados.
Origem de scripts Especifica origens válidas para o código JavaScript. A origem do script pode incluir domínios específicos, 'self' para a mesma origem, 'unsafe-inline' para scripts inline e 'nonce-xyz' para scripts com um nonce específico. Opte por ativar o nonce ou injetar o eval inseguro.
Mais informações em Gerir a Política de Segurança de Conteúdo do seu site: Ativar nonce
Origem de estilos Especifica as origens válidas para as folhas de estilos. Semelhante ao script-src, pode incluir domínios, 'self', 'unsafe-inline' e 'nonce-xyz'.
Origem de ligação Especifica origens válidas para XMLHttpRequest, WebSocket ou EventSource. Controla os domínios para os quais a página pode fazer pedidos de rede.
Origem de multimédia Especifica as origens válidas para áudio e vídeo. Usada para controlar os domínios a partir dos quais os recursos multimédia podem ser carregados.
Origem de frames Especifica as origens válidas para frames. Controla os domínios a partir dos quais a página pode incorporar frames.
Antecessores de Frames Especifica origens válidas que podem incorporar a página atual como um frame. Controla que domínios têm permissão para incorporar a página.
Ação do Formulário Especifica as origens válidas para submissões de formulários. Define os domínios para os quais os dados do formulário podem ser enviados.
Origem de objetos Especifica origens válidas para os recursos do elemento do objeto, como arquivos Flash ou outros objetos incorporados. Ajuda a controlar as origens a partir das quais estes objetos podem ser carregados.
Origem do worker Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados.
Origem do manifesto Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados.
Origem subordinada Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados.

Para cada diretiva, pode escolher um URL específico, todos os domínios ou nenhum.

Para configuração avançada, aceda a Gerir a Política de Segurança de Conteúdo do seu site: Defina a CSP do seu site.

Configurar a Partilha de Recursos de Origem Cruzada (CORS)

A Partilha de Recursos Transversais à Origens (CORS) é utilizada pelos browsers da web para permitir ou restringir que aplicações web que são executadas num domínio peçam e acedam a recursos de outro domínio.

Diretivas

São suportadas as seguintes diretivas.

Diretiva Descrição Valor(es)
Permitir acesso a recursos do servidor Também conhecido como Access-Control-Allow-Origin, ajuda o servidor a decidir que origens têm permissão para aceder aos seus recursos. As origens podem ser domínios, protocolos e portas. Escolher URL de domínio
Enviar cabeçalhos durante pedidos do servidor Também conhecido como Access-Control-Allow-Headers, ajuda a definir os cabeçalhos que podem ser enviados em pedidos de uma origem diferente para aceder a recursos no servidor. Escolha cabeçalhos específicos com as seguintes permissões
Origem
Aceitar
Autorização
Conteúdo – tipo
Expor valores de cabeçalho em código do lado do cliente Também conhecida como Access-Control-Expose-Headers, esta diretiva instrui o browser no qual os cabeçalhos de resposta devem ser expostos e disponibilizados ao código do lado do cliente solicitante em pedidos de origem cruzada. Escolha cabeçalhos específicos com as seguintes permissões
Origem
Aceitar
Autorização
Conteúdo – tipo
Definir métodos para aceder a recursos Também conhecido como Access-Control-Allow-Methods, ajuda a definir que métodos HTTP são permitidos ao aceder a recursos num servidor a partir de uma origem diferente. GET - Pede dados de um recurso especificado
POST - Envia dados para serem processados para um recurso especificado
PUT - Atualiza ou substitui um recurso num URL específico
HEAD - O mesmo que GET, mas recupera apenas os cabeçalhos e não o conteúdo real
PATCH - Modifica parcialmente um recurso
OPÇÕES - Pede informações sobre as opções de comunicação disponíveis para um recurso ou servidor
DELETE - Exclui o recurso especificado
Especificar duração de colocação em cache de resultados de pedidos Também conhecido como Access-Control-Max-Age, ajuda a definir o período durante o qual os resultados de um pedido antecipado podem ser colocados em cache pelo browser. Especificar duração em horas (segundos)
Permitir que o site partilhe credenciais Também conhecido como Access-Control-Allow-Credentials, ajuda a definir se o site pode partilhar credenciais (como cookies, cabeçalhos de autorização ou certificados SSL do lado do cliente) durante pedidos entre origens. Sim/Não
Apresentar página Web como iFrame da mesma origem Também conhecido como X-Frame-Options, permite que a página só seja apresentada num iframe se o pedido vier da mesma origem. Sim/Não
Bloquear interceção de MIME Também conhecido como X-Content-Type-Options: no-sniff, ajuda a impedir que os browsers efetuem interceção ou adivinha de tipos de MIME (content-type) para identificar o tipo de conteúdo de um recurso. Sim/Não

Configurar cookies (CSP)

O cabeçalho Cookie num pedido HTTP contém informações sobre cookies armazenados anteriormente por um site no seu browser. Quando visita um site, o seu browser envia um cabeçalho de cookie contendo todos os cookies relevantes associados a esse site de volta para o servidor.

Diretivas

São suportadas as seguintes diretivas.

Diretiva Descrição Cabeçalho
Regras de transferência para todos os cookies Controle a forma como os cookies são enviados com pedidos de várias origens. É uma caraterística de segurança destinada a mitigar certos tipos de falsificação de pedidos entre sites (CSRF) e ataques de fuga de informações. Esta definição corresponde ao cabeçalho SameSite/Predefinição.
Regras de transferência para cookies específicos Controle a forma como os cookies são enviados com pedidos de várias origens. É uma caraterística de segurança destinada a mitigar certos tipos de falsificação de pedidos entre sites (CSRF) e ataques de fuga de informações. Esta definição corresponde ao cabeçalho SameSite/Cookie específico.

Configurar Permissões - POlítica (CSP)

O cabeçalho Política de Permissões permite aos programadores Web controlar que funcionalidades da plataforma Web são permitidas ou negadas numa página Web.

Diretivas

As seguintes diretivas são suportadas e controlam o acesso às respetivas API.

  • Accelerometer
  • Ambient-Light-Sensor
  • Reprodução automática
  • Battery
  • Câmara
  • Apresentar
  • Document-Domain
  • Encrypted-Media
  • Execution-While-Not-Rendered
  • Execution-While-Out-Of-Viewport
  • Fullscreen
    Gamepad
  • Geolocation
  • Gyroscope
  • Hid
  • Identity-Credentials-Get
  • Idle-Detection
  • Local-Fonts
  • Magnetometer
  • Microfone
  • Midi
  • Otp-Credentials
  • Pagamento
  • Picture-In-Picture
  • Publickey-Credentials-Create
  • Publickey-Credentials-Get
  • Screen-Wake-Lock
  • Serial
  • Speaker-Selection
  • Storage-Access
  • Usb
  • Web-Share
  • Window-Management
  • Xr-Spatial-Tracking

Configurar mais cabeçalhos HTPP

Permitir ligação segura através de HTTPS

A configuração correspondente ao cabeçalho HTTP Strict-Transport-Security informa o browser que ele só deve se ligar ao site por HTTPS, mesmo que o utilizador digite "http://" na barra de endereço. Ajuda a evitar ataques man-in-the-middle, garantindo que toda a comunicação com o servidor seja encriptada e proteja contra certos tipos de ataques, como ataques de mudar para uma versão anterior de protocolo e sequestro de cookies.

Nota

Por razões de segurança, esta definição não pode ser modificada.

Incluir informações do referenciador em cabeçalhos HTTP

O cabeçalho HTTP da Política de Referência é utilizado para controlar a quantidade de informações sobre a origem do pedido (informações do referenciador) que são divulgadas nos cabeçalhos HTTP quando um utilizador navega de uma página para outra. Este cabeçalho ajuda a controlar os aspetos de privacidade e segurança relacionados com as informações de referência.

valor Descrição
Nenhum referenciador Não-referenciador significa que nenhuma informação de referenciador é enviada nos cabeçalhos. Esta definição é a opção mais consciente da privacidade.
Nenhum Referenciador ao Mudar para uma Versão Anterior Envia as informações completas do referenciador ao navegar de um HTTPS para um site HTTP, mas apenas a origem (sem caminho ou consulta) ao navegar entre sites HTTPS.
Mesma Origem - Política de Referência A mesma origem envia a informação completa do referenciador apenas quando o pedido é para a mesma origem. Para pedidos de origem cruzada, só é enviada a origem.
Origem A origem envia a origem do referenciador, mas nenhuma informação de caminho ou consulta, tanto para pedidos da mesma origem como para pedidos de origem cruzada.
Origem Restrita Semelhante a Origin, mas só envia informações do referenciador para pedidos da mesma origem.
Origem quando Entre Origens Semelhante a Origin, mas só envia informações do referenciador para pedidos da mesma origem.