Поделиться через

Управление политикой безопасности содержимого

  • Статья

Примечание

Действует с 12 октября 2022 г, в качестве порталов для Power Apps используется Power Pages. Дополнительная информация: Microsoft Power Pages теперь доступен для всех (блог)
Скоро мы мигрируем и объединим документацию порталов Power Apps с документацией Power Pages.

Политика безопасности содержимого (CSP) — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать некоторые типы веб-атак, таких как кража данных, порча сайта или распространение вредоносных программ. CSP предоставляет обширный набор директив политики, которые помогают контролировать ресурсы, которые разрешено загружать страницей сайта. Каждая директива определяет ограничения для определенного типа ресурса.

Когда политика CSP включена для веб-сайта портала, она помогает повысить безопасность, блокируя подключения, сценарии, шрифты и другие типы ресурсов, поступающие из неизвестных или вредоносных источников. Политика CSP по умолчанию отключена на порталах; однако многим веб-сайтам может потребоваться политика CSP для повышения безопасности.

Дополнительные сведения о политике CSP см. в разделе Справочное руководство по политике безопасности содержимого.

Настройка CSP

  1. Войдите в Power Apps.

  2. Убедитесь, что вы находитесь в среде, где расположен ваш портал.

  3. Выберите Приложения на левой панели, затем выберите приложение Управление порталом.

    Параметр меню приложений для Power Apps с выбранным приложением управления порталами.

  4. В левой области выберите Параметры сайта.

  5. Создайте (или обновите) параметр сайта HTTP/политика-безопасности-контента и установите требуемые вам значения, указанные на странице Справочное руководство по CSP, разделенные точкой с запятой.

    Пример

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Параметр меню «Параметры сайта» для Power Apps.

Включение NONCE

Включение NONCE (число, используемое один раз) заблокирует выполнение всех встроенных сценариев, кроме тех, которые указаны во встроенном сценарии. Генерируется уникальный криптографический одноразовый номер, который добавляется к каждому сценарию, указанному в заголовке CSP. На порталах NONCE поддерживает только встроенные сценарии и встроенные обработчики событий. Дополнительные сведения об одноразовом номере см. в разделе Использование одноразового номера с CSP.

Чтобы включить Nonce на порталах, добавьте значение script-src 'nonce'; в параметр сайта HTTP/политика-безопасности-контента.

Примеры

Если вам нужна строгая политика и вы не хотите разрешать загрузку скриптов из источников за пределами порталов, используйте следующее:

script-src 'self' content.powerapps.com 'nonce'

Если вы хотите загружать скрипты из любого безопасного источника, используйте следующее:

script-src https: 'nonce'

Примечание

  • Когда NONCE включено, unsafe-eval будет автоматически внедряться для поддержки автоматической оценки небезопасного кода. Чтобы отключить автоматическую вставку unsafe-eval, обновите параметр сайта HTTP/Content-Security-Policy/Inject-unsafe-eval на значение false.
  • Если внедрение unsafe-eval отключено, проверка автоматически сгенерированных полей на базовой и расширенной формах может перестать работать корректно.