Definições avançadas (pré-visualização)
[Este tópico é documentação de pré-lançamento e está sujeito a alterações.]
A área de trabalho Segurança permite-lhe proteger ainda mais o conteúdo e os dados do seu site contra ameaças de segurança, diretamente do estúdio de design do Power Pages. Utilize Definições avançadas para configurar cabeçalhos HTTP do seu site de forma rápida e eficiente, configure a Política de Segurança de Conteúdo (CSP), a Partilha de Recursos de Origem Cruzada (CORS), cookies, permissões e muito mais.
Importante
- Esta é uma funcionalidade de pré-visualização.
- As caraterísticas de pré-visualização não se destinam à produção e poderão ter caraterísticas restritas. Estas caraterísticas estão disponíveis antes do lançamento oficial, para que os clientes possam ter acesso antecipado e enviar comentários.
- Inicie sessão no Power Pages e abra o seu site para edição.
- Selecione Área de Trabalho de Segurança no painel de navegação esquerdo e, em seguida, escolha Definições avançadas (pré-visualização).
Configurar a Política de Segurança de Conteúdo (CSP)
A Política de Segurança de Conteúdo (CSP) é utilizada por servidores Web para impor um conjunto de regras de segurança para uma página web. Ajuda a proteger sites contra vários tipos de ataques de segurança, como scripting entre sites (XSS), injeção de dados e outros ataques de injeção de código.
Diretivas
São suportadas as seguintes diretivas.
Diretiva | Descrição |
---|---|
Origem predefinida | Especifica a origem predefinida do conteúdo não explicitamente definido por outras diretivas. Funciona como uma alternativa para outras diretivas. |
Origem de imagem | Especifica as origens válidas para as imagens. Controla os domínios a partir dos quais as imagens podem ser carregadas. |
Origem de tipos de letra | Especifica as origens válidas para os tipos de letra. Usada para controlar os domínios a partir dos quais os tipos de letra da web podem ser carregados. |
Origem de scripts | Especifica origens válidas para o código JavaScript. A origem do script pode incluir domínios específicos, 'self' para a mesma origem, 'unsafe-inline' para scripts inline e 'nonce-xyz' para scripts com um nonce específico. Opte por ativar o nonce ou injetar o eval inseguro. Mais informações em Gerir a Política de Segurança de Conteúdo do seu site: Ativar nonce |
Origem de estilos | Especifica as origens válidas para as folhas de estilos. Semelhante ao script-src, pode incluir domínios, 'self', 'unsafe-inline' e 'nonce-xyz'. |
Origem de ligação | Especifica origens válidas para XMLHttpRequest, WebSocket ou EventSource. Controla os domínios para os quais a página pode fazer pedidos de rede. |
Origem de multimédia | Especifica as origens válidas para áudio e vídeo. Usada para controlar os domínios a partir dos quais os recursos multimédia podem ser carregados. |
Origem de frames | Especifica as origens válidas para frames. Controla os domínios a partir dos quais a página pode incorporar frames. |
Antecessores de Frames | Especifica origens válidas que podem incorporar a página atual como um frame. Controla que domínios têm permissão para incorporar a página. |
Ação do Formulário | Especifica as origens válidas para submissões de formulários. Define os domínios para os quais os dados do formulário podem ser enviados. |
Origem de objetos | Especifica origens válidas para os recursos do elemento do objeto, como arquivos Flash ou outros objetos incorporados. Ajuda a controlar as origens a partir das quais estes objetos podem ser carregados. |
Origem do worker | Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados. |
Origem do manifesto | Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados. |
Origem subordinada | Especifica origens válidas para web workers, incluindo trabalhadores dedicados, partilhados e trabalhadores de serviço. Ajuda a controlar as origens a partir das quais estes scripts de trabalhadores podem ser carregados e executados. |
Para cada diretiva, pode escolher um URL específico, todos os domínios ou nenhum.
Para configuração avançada, aceda a Gerir a Política de Segurança de Conteúdo do seu site: Defina a CSP do seu site.
Configurar a Partilha de Recursos de Origem Cruzada (CORS)
A Partilha de Recursos Transversais à Origens (CORS) é utilizada pelos browsers da web para permitir ou restringir que aplicações web que são executadas num domínio peçam e acedam a recursos de outro domínio.
Diretivas
São suportadas as seguintes diretivas.
Diretiva | Descrição | Valor(es) |
---|---|---|
Permitir acesso a recursos do servidor | Também conhecido como Access-Control-Allow-Origin, ajuda o servidor a decidir que origens têm permissão para aceder aos seus recursos. As origens podem ser domínios, protocolos e portas. | Escolher URL de domínio |
Enviar cabeçalhos durante pedidos do servidor | Também conhecido como Access-Control-Allow-Headers, ajuda a definir os cabeçalhos que podem ser enviados em pedidos de uma origem diferente para aceder a recursos no servidor. | Escolha cabeçalhos específicos com as seguintes permissões Origem Aceitar Autorização Conteúdo – tipo |
Expor valores de cabeçalho em código do lado do cliente | Também conhecida como Access-Control-Expose-Headers, esta diretiva instrui o browser no qual os cabeçalhos de resposta devem ser expostos e disponibilizados ao código do lado do cliente solicitante em pedidos de origem cruzada. | Escolha cabeçalhos específicos com as seguintes permissões Origem Aceitar Autorização Conteúdo – tipo |
Definir métodos para aceder a recursos | Também conhecido como Access-Control-Allow-Methods, ajuda a definir que métodos HTTP são permitidos ao aceder a recursos num servidor a partir de uma origem diferente. | GET - Pede dados de um recurso especificado POST - Envia dados para serem processados para um recurso especificado PUT - Atualiza ou substitui um recurso num URL específico HEAD - O mesmo que GET, mas recupera apenas os cabeçalhos e não o conteúdo real PATCH - Modifica parcialmente um recurso OPÇÕES - Pede informações sobre as opções de comunicação disponíveis para um recurso ou servidor DELETE - Exclui o recurso especificado |
Especificar duração de colocação em cache de resultados de pedidos | Também conhecido como Access-Control-Max-Age, ajuda a definir o período durante o qual os resultados de um pedido antecipado podem ser colocados em cache pelo browser. | Especificar duração em horas (segundos) |
Permitir que o site partilhe credenciais | Também conhecido como Access-Control-Allow-Credentials, ajuda a definir se o site pode partilhar credenciais (como cookies, cabeçalhos de autorização ou certificados SSL do lado do cliente) durante pedidos entre origens. | Sim/Não |
Apresentar página Web como iFrame da mesma origem | Também conhecido como X-Frame-Options, permite que a página só seja apresentada num iframe se o pedido vier da mesma origem. | Sim/Não |
Bloquear interceção de MIME | Também conhecido como X-Content-Type-Options: no-sniff, ajuda a impedir que os browsers efetuem interceção ou adivinha de tipos de MIME (content-type) para identificar o tipo de conteúdo de um recurso. | Sim/Não |
Configurar cookies (CSP)
O cabeçalho Cookie num pedido HTTP contém informações sobre cookies armazenados anteriormente por um site no seu browser. Quando visita um site, o seu browser envia um cabeçalho de cookie contendo todos os cookies relevantes associados a esse site de volta para o servidor.
Diretivas
São suportadas as seguintes diretivas.
Diretiva | Descrição | Cabeçalho |
---|---|---|
Regras de transferência para todos os cookies | Controle a forma como os cookies são enviados com pedidos de várias origens. É uma caraterística de segurança destinada a mitigar certos tipos de falsificação de pedidos entre sites (CSRF) e ataques de fuga de informações. | Esta definição corresponde ao cabeçalho SameSite/Predefinição. |
Regras de transferência para cookies específicos | Controle a forma como os cookies são enviados com pedidos de várias origens. É uma caraterística de segurança destinada a mitigar certos tipos de falsificação de pedidos entre sites (CSRF) e ataques de fuga de informações. | Esta definição corresponde ao cabeçalho SameSite/Cookie específico. |
Configurar Permissões - POlítica (CSP)
O cabeçalho Política de Permissões permite aos programadores Web controlar que funcionalidades da plataforma Web são permitidas ou negadas numa página Web.
Diretivas
As seguintes diretivas são suportadas e controlam o acesso às respetivas API.
- Accelerometer
- Ambient-Light-Sensor
- Reprodução automática
- Battery
- Câmara
- Apresentar
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfone
- Midi
- Otp-Credentials
- Pagamento
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurar mais cabeçalhos HTPP
Permitir ligação segura através de HTTPS
A configuração correspondente ao cabeçalho HTTP Strict-Transport-Security informa o browser que ele só deve se ligar ao site por HTTPS, mesmo que o utilizador digite "http://" na barra de endereço. Ajuda a evitar ataques man-in-the-middle, garantindo que toda a comunicação com o servidor seja encriptada e proteja contra certos tipos de ataques, como ataques de mudar para uma versão anterior de protocolo e sequestro de cookies.
Nota
Por razões de segurança, esta definição não pode ser modificada.
Incluir informações do referenciador em cabeçalhos HTTP
O cabeçalho HTTP da Política de Referência é utilizado para controlar a quantidade de informações sobre a origem do pedido (informações do referenciador) que são divulgadas nos cabeçalhos HTTP quando um utilizador navega de uma página para outra. Este cabeçalho ajuda a controlar os aspetos de privacidade e segurança relacionados com as informações de referência.
valor | Descrição |
---|---|
Nenhum referenciador | Não-referenciador significa que nenhuma informação de referenciador é enviada nos cabeçalhos. Esta definição é a opção mais consciente da privacidade. |
Nenhum Referenciador ao Mudar para uma Versão Anterior | Envia as informações completas do referenciador ao navegar de um HTTPS para um site HTTP, mas apenas a origem (sem caminho ou consulta) ao navegar entre sites HTTPS. |
Mesma Origem - Política de Referência | A mesma origem envia a informação completa do referenciador apenas quando o pedido é para a mesma origem. Para pedidos de origem cruzada, só é enviada a origem. |
Origem | A origem envia a origem do referenciador, mas nenhuma informação de caminho ou consulta, tanto para pedidos da mesma origem como para pedidos de origem cruzada. |
Origem Restrita | Semelhante a Origin, mas só envia informações do referenciador para pedidos da mesma origem. |
Origem quando Entre Origens | Semelhante a Origin, mas só envia informações do referenciador para pedidos da mesma origem. |