Hantera säkerhetspolicy för innehåll
Anteckning
Från och med den 12 oktober 2022 byter Power Apps-portaler namn till Power Pages. Mer information: Microsoft Power Pages är nu allmänt tillgänglig (blogg)
Vi kommer snart migrera och sammanfoga dokumentationen för Power Apps-portaler med Power Pages-dokumentationen.
Innehållssäkerhetspolicyn (CSP) är ett extra lager med säkerhet som hjälper dig att identifiera och undvika vissa typer av webbanfall, t.ex. dataknep, webbplatsdekrypering eller distribution av skadlig kod. CSP tillhandahåller en omfattande uppsättning policyer som hjälper dig att kontrollera vilka resurser en webbplatssida kan läsas in på. I varje direktiv definieras begränsningarna för en viss typ av resurs.
När CSP är aktiverat för en portalwebbplats ökar säkerheten genom att blockera anslutningar, skript, teckensnitt och andra typer av resurser som kommer från okända eller skadliga källor. CSP är inaktiverat som standard i portaler. Men många webbplatser kan kräva CSP för att förbättra annan säkerhet.
Mer information om CSP finns i referenser för säkerhetsprinciper för innehåll.
Konfigurera CSP
Logga in på Power Apps.
Se till att du befinner dig i den miljö där portalen finns.
I den vänstra rutan, välj Appar och leta upp Portalhantering app.
I vänstra rutan, välj Webbplatsinställningar.
Skapa eller uppdatera HTTP/Content-Security-Policy platsinställning och ställ in de nödvändiga värdena som nämns på sidan CSP-referens avgränsade med semikolon.
Exempel
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Aktivera nonce
Om du aktiverar nonce (antal som används en gång) blockeras körningen av alla infogade skript utom de som anges i det infogade skriptet. En unik kryptografisk nonce skapas och läggs till i varje skript som anges i CSP-rubriken. Nonce i portaler har endast stöd för infogade skript och infogade händelsehanterare. Mer information om nonce finns i Använda en nonce med CSP.
Aktivera Nonce i Portaler genom att lägga till värdet script-src 'nonce'; värde HTTP/Content-Security-Policy inställningarna.
Exempel
Om du vill ha en policy som gör att skript inte ska kunna läsas in från källor utanför portaler, använd följande:
script-src 'self' content.powerapps.com 'nonce'
Om du vill läsa in skript från en säker källa, använd följande:
script-src https: 'nonce'
Anteckning
- När nonce är aktiverad, unsafe-eval kommer automatiskt att injiceras för att stödja automatisk utvärdering av osäker kod. För att inaktivera den automatiska injektionen av unsafe-eval, uppdatera platsinställning HTTP/Content-Security-Policy/Inject-unsafe-eval till falsk.
- Om injektion av unsafe-eval är inaktiverad, valideringen av automatiskt genererade fält på grund eller avancera formulär kanske inte längre fungerar korrekt.