Поделиться через

Управление политикой безопасности контента вашего сайта

  • Статья

Политика безопасности содержимого (CSP) — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать некоторые типы веб-атак, таких как кража данных, порча сайта или распространение вредоносных программ. CSP предоставляет обширный набор директив политики, которые помогают контролировать ресурсы, которые разрешено загружать страницей сайта. Каждая директива определяет ограничения для определенного типа ресурса.

Когда политика CSP включена для веб-сайта Power Pages, она помогает сделать сайт более безопасным, блокируя подключения, сценарии, шрифты и другие типы ресурсов, поступающие из неизвестных или вредоносных источников.

По умолчанию функция CSP отключена. Однако веб-сайтам может потребоваться CSP для повышения безопасности.

Используйте приложение управления порталом для управления CSP.

Установите CSP своего сайта

  1. Войдите в Power Pages и откройте свой сайт для редактирования.

  2. На левой боковой панели выберите Другие элементы () >Управление порталом.

  3. В левой боковой панели приложения управления порталом выберите Настройки сайта.

  4. Создайте или отредактируйте настройку сайта HTTP/Content-Security-Policy.

  5. Установите нужные значения из справочника CSP, разделив их точкой с запятой; например, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Включение nonce

nonce представляет собой код, обычно числовой, который предназначен для использования только один раз ("однократное число"). Когда вы используйте nonce с политикой CSP вашего сайта, генерируется уникальный криптографический код, который добавляется к каждому сценарию, указанному в заголовке CSP. Разрешается запускать только встроенные сценарии с атрибутом nonce, совпадающим с этим атрибутом в CSP. Сценарии, которые злоумышленник мог внедрить на страницу, блокируются, поскольку они не включают атрибут nonce. Дополнительные сведения об использовании nonce с CSP.

NONCE на сайтах Power Pages поддерживает только встроенные сценарии и встроенные обработчики событий.

Чтобы включить Nonce для вашего сайта, добавьте значение script-src 'nonce'; в параметр сайта HTTP/Content-Security-Policy. Ниже приведены несколько примеров.

  • Если вам нужна строгая политика, запрещающая загрузку скриптов из источников вне сайта Power Pages, добавьте следующее значение в настройку сайта HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Если вы хотите загружать скрипты из любого безопасного источника, добавьте следующее значение: script-src https: 'nonce'

Когда nonce включен, unsafe-eval вводится для поддержки автоматической оценки небезопасного кода. Чтобы отключить автоматическую вставку unsafe-eval, измените параметр сайта HTTP/Content-Security-Policy/Inject-unsafe-eval на значение False. Имейте в виду, что если внедрение unsafe-eval отключено, проверка автоматически сгенерированных полей на базовых или многошаговых формах может работать некорректно.