Partilhar via

Gerir a Política de Segurança de Conteúdos do seu site

  • Artigo

A Política de Segurança de Conteúdos (CSP) é uma camada adicional de segurança que ajuda a detetar e a mitigar alguns tipos de ataques Web, tais como roubo de dados, degradação de sites ou a distribuição de malware. A CSP fornece um extenso conjunto de diretivas de política que ajudam a controlar os recursos que uma página de site tem permissão para carregar. Cada diretiva define as restrições de um tipo específico de recurso.

Quando a CSP está ativada para um site do Power Pages, ajuda a tornar o site mais seguro ao bloquear ligações, scripts, tipos de letra e outros tipos de recursos provenientes de origens desconhecidas ou maliciosas.

Por predefinição, a CSP está desativada. No entanto, os sites poderão requerer que a CSP melhore outras seguranças.

Utilize a aplicação Gestão do Portal para gerir a CSP.

Definir a CSP do seu site

  1. Inicie sessão no Power Pages e abra o seu site para edição.

  2. No painel do lado esquerdo, selecione Mais itens () >Gestão do Portal.

  3. No painel do lado esquerdo da aplicação Gestão do Portal, selecione Definições do Site.

  4. Crie ou edite a definição de site HTTP/Content-Security-Policy.

  5. Defina os valores de que necessita a partir da referência de CSP, separados por ponto e vírgula; por exemplo, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Ativar nonce

Um nonce representa um código, normalmente numérico, que se destina a ser utilizado apenas uma vez ("número uma vez"). Quando utiliza um nonce com a CSP do seu site, é gerado e adicionado um código criptográfico a cada script especificado no cabeçalho da CSP. Só é permitido executar scripts inline que tenham um atributo nonce que corresponde ao da CSP. Os scripts que um atacante pode ter injetado na página são bloqueados porque não incluem o atributo nonce. Mais informações sobre como utilizar um nonce com a CSP.

Em sites do Power Pages, o nonce suporta apenas scripts inline e processadores de eventos inline.

Para ativar o nonce no seu site, adicione o valor script-src 'nonce'; à definição de site HTTP/Content-Security-Policy. Seguem-se alguns exemplos.

  • Se quiser uma política estrita que não permita que os scripts sejam carregados de origens fora de um site do Power Pages, adicione o seguinte valor à definição de site HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Se pretende carregar scripts a partir de qualquer origem protegida, adicione o seguinte valor: script-src https: 'nonce'

Quando o nonce está ativado, unsafe-eval é injetado para suportar a avaliação automática de código não seguro. Para desativar a injeção automática de unsafe-eval, altere a definição de site HTTP/Content-Security-Policy/Inject-unsafe-eval como False. Tenha em atenção que se a injeção unsafe-eval estiver desativada, a validação de campos gerados automaticamente em formulários básicos ou com vários passos poderá deixar de funcionar corretamente.