Расширенные параметры (предварительная версия)
[Данный раздел посвящен предварительному выпуску и может быть изменен.]
Рабочая область «Безопасность» позволяет дополнительно защитить содержимое и данные вашего сайта от угроз безопасности непосредственно в студии дизайна Power Pages. Используйте расширенные параметры, чтобы быстро и эффективно настроить HTTP-заголовки вашего сайта, настроить политику безопасности контента (CSP), общий доступ к ресурсам независимо от источника (CORS), файлы cookie, разрешения и многое другое.
Важно
- Это предварительная версия функции.
- Предварительные версии функций не предназначены для использования в производственной среде, а их функциональность может быть ограничена. Они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.
- Войдите в Power Pages и откройте свой сайт для редактирования.
- Выберите Рабочая область безопасности в левой части панели навигации, а затем выберите Расширенные параметры (предварительная версия).
Настройка политики безопасности контента (CSP)
Политика безопасности контента, или CSP, используется веб-серверами для обеспечения соблюдения набора правил безопасности для веб-страницы. Она помогает защитить сайты от различных типов атак на безопасность, таких как межсайтовые сценарии (XSS), внедрение данных и другие атаки с внедрением кода.
Директивы
Поддерживаются следующие директивы.
| Директива | Описание |
|---|---|
| Источник по умолчанию | Указывает источник по умолчанию для содержимого, не определенного явно другими директивами. Действует как запасной вариант для других директив. |
| Источник изображения | Указывает действительные источники изображений. Управляет доменами, с которых можно загружать изображения. |
| Источник шрифтов | Указывает действительные источники шрифтов. Используется для управления доменами, с которых можно загружать веб-шрифты. |
| Источник скриптов | Указывает действительные источники кода JavaScript. Источник сценария может включать определенные домены: «self» для одного и того же источника, «unsafe-inline» для встроенных сценариев и «nonce-xyz» для сценариев с определенным одноразовым номером. Включите одноразовый номер или внедрите небезопасную оценку. Подробнее см. в разделе Управление политикой безопасности контента для вашего сайта: включение одноразового номера |
| Источник стилей | Указывает действительные источники таблиц стилей. Подобно script-src, он может включать домены, «self», «unsafe-inline» и «nonce-xyz». |
| Источник подключения | Указывает действительные источники для XMLHttpRequest, WebSocket или EventSource. Управляет доменами, к которым страница может отправлять сетевые запросы. |
| Источник мультимедиа | Указывает действительные источники аудио и видео. Используется для управления доменами, с которых можно загружать медиаресурсы. |
| Источник фреймов | Указывает действительные источники фреймов. Управляет доменами, из которых страница может внедрять фреймы. |
| Frame-ancestors | Указывает действительные источники, которые могут внедрить текущую страницу в качестве фрейма. Определяет, в каких доменах разрешено внедрять страницу. |
| Действие формы | Указывает действительные источники для отправки форм. Определяет домены, на которые можно отправлять данные формы. |
| Источник объектов | Указывает действительные источники ресурсов элемента объекта, такие как файлы Flash или другие внедренные объекты. Это помогает контролировать, из каких источников могут быть загружены эти объекты. |
| Источник рабочих процессов | Указывает действительные источники для веб-работников, включая выделенных, общих и сервисных работников. Это помогает контролировать, из каких источников могут быть загружены и выполнены эти сценарии работников. |
| Источник манифеста | Указывает действительные источники для веб-работников, включая выделенных, общих и сервисных работников. Это помогает контролировать, из каких источников могут быть загружены и выполнены эти сценарии работников. |
| Источник дочерних процессов | Указывает действительные источники для веб-работников, включая выделенных, общих и сервисных работников. Это помогает контролировать, из каких источников могут быть загружены и выполнены эти сценарии работников. |
Для каждой директивы вы можете выбрать конкретный URL-адрес, все домены или ни то ни другое.
Дополнительные сведения о расширенной настройке см. в разделе Управление политикой безопасности контента вашего сайта: настройка CSP сайта.
Настройка общего доступа к ресурсам независимо от источника (CORS)
Общий доступ к ресурсам независимо от источника (CORS) используется веб-браузерами для того, чтобы разрешить или запретить веб-приложениям, работающим в одном домене, запрашивать ресурсы из другого домена и осуществлять доступ к ним.
Директивы
Поддерживаются следующие директивы.
| Директива | Описание | Значение |
|---|---|---|
| Разрешить доступ к ресурсам сервера | Также известно как «Access-Control-Allow-Origin». Помогает серверу решить, каким источникам разрешен доступ к его ресурсам. Источниками могут быть домены, протоколы и порты. | Выберите URL-адреса домена |
| Отправлять заголовки при запросах к серверу | Также называется Access-Control-Allow-Headers; позволяет определить заголовки, которые могут передаваться в запросах из другого источника для доступа к ресурсам на сервере. | Выберите определенные заголовки со следующими разрешениями: Источник Принять Авторизация Тип контента |
| Предоставлять значения заголовков в клиентском коде | Эта директива, также известная как «Access-Control-Expose-Headers», указывает браузеру, какие заголовки ответов следует отображать и делать доступными для запрашивающего клиентского кода в запросах между источниками. | Выберите определенные заголовки со следующими разрешениями: Источник Принять Авторизация Тип контента |
| Определить методы доступа к ресурсам | Также называется «Access-Control-Allow-Methods». Позволяет определить, какие методы HTTP допускаются при доступе к ресурсам на сервере из другого источника. | GET — запрашивает данные из указанного ресурса POST — отправляет данные для обработки в указанный ресурс PUT — обновляет или заменяет ресурс по определенному URL-адресу HEAD — то же, что GET, но извлекает только заголовки, а не фактическое содержимое PATCH — частично изменяет ресурс OPTIONS — запрашивает информацию о параметрах связи, доступных для ресурса или сервера DELETE — удаляет указанный ресурс |
| Указание срока кэширования результатов запроса | Также называется Access-Control-Max-Age; позволяет определить время, в течение которого результаты предварительного запроса могут храниться в кэше браузера. | Укажите длительность в секундах |
| Разрешить сайту передавать учетные данные | Также называется Access-Control-Allow-Credentials; позволяет определить, может ли сайт передавать учетные данные (например, файлы cookie, заголовки авторизации или сертификаты SSL на стороне клиента) при запросах между источниками. | Да/нет |
| Показывать веб-страницу как iFrame из того же источника | Также называется X-Frame-Options, позволяет отображать страницу в iframe только при условии, что запрос поступил из того же источника. | Да/нет |
| Блокировать отслеживание MIME | Также называется X-Content-Type-Options: no-sniff; запрещает веб-браузерам пытаться самостоятельно определять тип MIME (content-type) или угадывать тип контента ресурса. | Да/нет |
Настройка файлов cookie (CSP)
Заголовок Cookie в HTTP-запросе содержит информацию о файлах cookie, ранее сохраненных веб-сайтом в вашем браузере. Когда вы посещаете веб-сайт, ваш браузер отправляет заголовок Cookie, содержащий все соответствующие файлы cookie, связанные с этим сайтом, обратно на сервер.
Директивы
Поддерживаются следующие директивы.
| Директива | Описание | Верхний колонтитул |
|---|---|---|
| Правила передачи для всех файлов cookie | Контролируйте отправку файлов cookie с помощью запросов из разных источников. Это функция безопасности, направленная на смягчение некоторых типов подделки межсайтовых запросов (CSRF) и атак с утечкой информации. | Этот параметр соответствует заголовку SameSite/Default. |
| Правила передачи для конкретных файлов cookie | Контролируйте отправку файлов cookie с помощью запросов из разных источников. Это функция безопасности, направленная на смягчение некоторых типов подделки межсайтовых запросов (CSRF) и атак с утечкой информации. | Этот параметр соответствует cookie-файлу заголовка SameSite/Specific. |
Настройка Permissions-Policy (CSP)
Заголовок Permissions-Policy позволяет веб-разработчикам контролировать, какие функции веб-платформы разрешены или запрещены на веб-странице.
Директивы
Следующие директивы поддерживаются и управляют доступом к соответствующим API-интерфейсам.
- Accelerometer
- Ambient-Light-Sensor
- Автозапуск
- Battery
- Камера
- Отображение
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Микрофон
- Midi
- Otp-Credentials
- Платеж
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Настройка дополнительных заголовков HTTP
Разрешить безопасное соединение через HTTPS
Параметр, соответствующий заголовку HTTP Strict-Transport-Security, сообщает браузеру, что ему следует подключаться к веб-сайту только через HTTPS, даже если пользователь вводит «http://» в адресную строку. Это помогает предотвратить атаки «злоумышленник в середине», гарантируя, что весь обмен данными с сервером зашифрован, и защищает от определенных типов атак, таких как атаки с понижением версии протокола и перехват файлов cookie.
Заметка
Из соображений безопасности этот параметр нельзя изменить.
Включать информацию об источнике ссылки в заголовки HTTP
HTTP-заголовок Referrer-Policy используется для контроля того, сколько информации о происхождении запроса (информация об источнике ссылки) раскрывается в заголовках HTTP, когда пользователь переходит с одной страницы на другую. Этот заголовок помогает контролировать аспекты конфиденциальности и безопасности, связанные с информацией об источнике ссылки.
| Стоимость | Описание |
|---|---|
| no-referrer | Отсутствие источника ссылки означает, что в заголовках не отправляется информация об источнике ссылки. Этот параметр является наиболее важным для конфиденциальности. |
| no-referrer-when-downgrade | Он отправляет полную информацию об источнике ссылки при переходе с HTTPS на сайт HTTP и только источник (без пути или запроса) при переходе между сайтами HTTPS. |
| Same-Origin — Referrer-Policy | Same-origin отправляет полную информацию об источнике ссылки только в том случае, если запрос направлен к тому же источнику. Для запросов между источниками отправляется только источник. |
| Источник | Origin отправляет источник источника ссылки, но не передает информацию о пути или запросе как для запросов с одним и тем же источником (same-origin), так и для запросов с несколькими источниками (cross-origin). |
| strict-origin | Это значение аналогично значению origin, однако информация об источнике ссылки передается только в случае запросов с того же домена-источника. |
| origin-when-cross-origin | Это значение аналогично значению origin, однако информация об источнике ссылки передается только в случае запросов с того же домена-источника. |