Avancerade inställningar (förhandsversion)
[Det här ämnet är en förhandsversion av dokumentationen och kan ändras.]
Med arbetsytan Säkerhet kan du ytterligare skydda webbplatsinnehåll och data från säkerhet hot, direkt från Power Pages Design Studio. Använd avancerade inställningar för att snabbt och effektivt konfigurera HTTP-rubriker för webbplatsen, konfigurera säkerhetspolicy för innehåll (CSP), resursdelning med flera ursprung (CORS), cookies, behörigheter med mera.
Viktigt
- Detta är en förhandsversion.
- Förhandsversionsfunktioner ska inte användas i produktion och funktionerna kan vara begränsade. funktionerna är tillgängliga före den officiella publiceringen så att kunderna kan få tillgång tidigare och ge oss feedback.
- Logga in på Power Pages och öppna din webbplats för redigering.
- Välj Säkerhetsarbetsyta i vänster navigering och välj sedan Avancerade inställningar (förhandsversion)
Konfigurera innehållssäkerhetspolicy (CSP)
Säkerhetspolicy för innehåll (CSP) används av webbservrar för att framtvinga en uppsättning säkerhetsregler för en webbsida. Den hjälper till att skydda webbplatser från olika typer av säkerhetsanfall, t.ex. skriptkörning över flera webbplatser (XSS), datainmatning och andra angrepp som samlar in kod.
Direktiv
Följande direktiv stöds.
| Direktiv | Beskrivning |
|---|---|
| Standardkälla | Anger standardkällan för innehåll som inte uttryckligen har definierats av någon annan. Den fungerar som en reserv vid andra åtgärder. |
| Bildkälla | Anger giltiga källor för bilder. Styr vilka domäner som bilder kan läsas in från. |
| Teckensnittskälla | Anger giltiga källor för teckensnitt. Används för att styra vilka domäner som webbteckensnitt kan läsas in från. |
| Skriptkälla | Anger giltiga källor för JavaScript-kod. Skriptkällan kan innehålla specifika domäner, "self" för samma ursprung, "unsafe-inline" för infogade skript och "nonce-xyz" för skript med en specifik nonce. Välj att aktivera nonce eller injicera osäker eval. Läs mer på Hantera webbplatsens säkerhetspolicy för innehåll: Aktivera nonce |
| Formatmallskälla | Anger giltiga källor för formatmallar. På samma sätt som med skript kan den innehålla domäner, "self", "unsafe-inline" och "nonce-xyz". |
| Anslut källa | Anger giltiga källor för XMLHttpRequest, WebSocket eller EventSource. Styr vilka domäner som sidan kan göra nätverksbegäran till. |
| Mediekällor | Anger giltiga källor för källfiler och videoklipp. Används för att styra vilka domäner som medieresurser kan läsas in från. |
| Ramkälla | Anger giltiga källor för ramar. Styr de domäner som sidan kan bädda in ramar från. |
| Överordnad ram | Anger giltiga källor som kan bädda in den aktuella sidan som en ram. Styr vilka domäner som kan bädda in sidan. |
| Åtgärd för formulär | Anger giltiga källor för formulärinskick. Definierar de domäner som formulärdata kan skickas till. |
| Objektkälla | Anger giltiga källor för objektelementens resurser, till exempel Flash-filer eller andra inbäddade objekt. Den hjälper till att styra från vilket ursprung objekten kan läsas in. |
| Arbetskälla | Anger giltiga källor för webbpersonal, även dedicerade medarbetare, delade medarbetare och servicepersonal. Det hjälper till att kontrollera från vilket ursprung dessa arbetarskript kan laddas och köras. |
| Manifestkälla | Anger giltiga källor för webbpersonal, även dedicerade medarbetare, delade medarbetare och servicepersonal. Det hjälper till att kontrollera från vilket ursprung dessa arbetarskript kan laddas och köras. |
| Underordnad källa | Anger giltiga källor för webbpersonal, även dedicerade medarbetare, delade medarbetare och servicepersonal. Det hjälper till att kontrollera från vilket ursprung dessa arbetarskript kan laddas och köras. |
För varje direktiv kan du antingen välja specifik URL, alla domäner eller inget.
Avancerad konfiguration finns i Hantera webbplatsens säkerhetspolicy för innehåll: Konfigurera webbplatsen CSP.
Konfigurera resursdelning för korsande ursprung (CORS)
Resursdelning för korsande ursprung (CORS) används i webbläsare för att tillåta eller begränsa att webbprogram som körs i en domän att begära och få åtkomst till resurser från en annan domän.
Direktiv
Följande direktiv stöds.
| Direktiv | Beskrivning | Värde |
|---|---|---|
| Tillåt åtkomst till resurser från servern | Kallas även Access-Control-Allow-Origin, hjälper servern att avgöra varifrån servern får åtkomst till sina resurser. Ursprung kan vara domäner, protokoll och portar. | Välj domänens URL:er |
| Skicka huvuden under serverbegäranden | Det här kallas även Access-Control-Allow-Headers och hjälper till att definiera vilka huvuden som kan skickas i begäranden med olika ursprung för att komma åt resurser på servern. | Välj specifika huvuden med följande behörigheter Origin Accept Authorization Innehåll – type |
| Exponera huvudvärden i kod på klientsidan | Även känt som Access-Control-Expose-Headers, instruerar detta direktiv webbläsaren om vilka svarshuvuden som ska exponeras och göras tillgängliga för den begärande klientsidans kod vid begäran för flera ursprung. | Välj specifika huvuden med följande behörigheter Origin Accept Authorization Innehåll – type |
| Definiera metoder för att komma åt resurser | Det här kallas även Access-Control-Allow-Methods och hjälper till att definiera vilka HTTP-metoder som är tillåtna vid åtkomst till resurser på en server med ett annat ursprung. | GET – Begär data från en angiven resurs POST – Skickar data som ska bearbetas till en specificerad resurs PUT – Uppdaterar eller ersätter en resurs på en specifik URL HEAD – Samma som GET men hämtar bara rubrikerna och inte det faktiska innehållet PATCH – Modifierar delvis en resurs OPTIONS – Begär information om tillgängliga kommunikationsalternativ för en resurs eller server DELETE – Tar bort den angivna resursen |
| Ange varaktighet för cachelagring av begäransresultat | Det här kallas även Access-Control-Max-Age och hjälper till att definiera hur länge en preflight-begärans resultat kan cachelagras av webbläsaren. | Ange varaktighet i tider (sekunder) |
| Tillåt att webbplatsen delar autentiseringsuppgifter | Det här kallas även Access-Control-Allow-Credentials och hjälper till att definiera om webbplatsen kan dela autentiseringsuppgifter som cookies, auktoriseringsrubriker och SSL-certifikat på klientsidan under begäranden med flera ursprung. | Ja/Nej |
| Visa webbsidan som en iFrame från samma ursprung | Det här kallas även X-Frame-Options och gör att sidan bara kan visas i en iFrame om begäran kommer från samma ursprung. | Ja/Nej |
| Blockera MIME-analys | Det här kallas även X-Content-Type-Options: no-sniff och hjälper till att förhindra att webbläsare utför MIME-typanalyser (content-type) eller gissar innehållstypen för en resurs. | Ja/Nej |
Konfigurera cookies (CSP)
Cookiehuvudet på en HTTP-begäran innehåller information om cookies som tidigare lagrats av en webbplats i din webbläsare. När du besöker en webbplats skickar din webbläsare en cookiehuvud som innehåller alla relevanta cookies som är associerade med webbplatsen tillbaka till servern.
Direktiv
Följande direktiv stöds.
| Direktiv | Beskrivning | Sidhuvud |
|---|---|---|
| Överföringsregler för alla cookies | Kontrollera hur cookies skickas med begäran för flera ursprung. Det är en säkerhetsfunktion som syftar till att minska vissa typer av förfalskning av begäran mellan webbplatser (CSRF) och informationsläckageattacker. | Den här inställningen motsvarar rubriken SameSite/Default. |
| Överföringsregler för specifika cookies | Kontrollera hur cookies skickas med begäran för flera ursprung. Det är en säkerhetsfunktion som syftar till att minska vissa typer av förfalskning av begäran mellan webbplatser (CSRF) och informationsläckageattacker. | Den här inställningen motsvarar rubrikcookie SameSite/Specific. |
Konfigurera behörighetspolicy (CSP)
Huvudet behörighetspolicy gör det möjligt för webbutvecklare att styra vilka webbplattformsfunktioner som tillåts eller nekas på en webbsida.
Direktiv
Följande funktioner stöds och styr åtkomsten till sina respektive API:er.
- Accelerometer
- Ambient-Light-Sensor
- Spela upp automatiskt
- Batteri
- Kamera
- Visning
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Helskärm
Spelplatta
- Geoplats
- Gyroskop
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Betalning
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Seriell
- Speaker-Selection
- Storage-Access
- USB
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigurera fler HTTP-rubriker
Tillåt säker anslutning via HTTPS
Inställningen som motsvarar HTTP Strict-Transport-Security huvudet informerar webbläsaren om att den endast ska ansluta till webbplatsen via HTTPS, även om användaren går in "http://" i adressfältet. Det hjälper till att förhindra man-i-mitten-attack genom att säkerställa att all kommunikation med servern är krypterad och skyddar mot vissa typer av angrepp, t.ex. protokollnedgraderingsattacker och cookie-kapning.
Kommentar
Av säkerhetsskäl går det inte att ändra den här inställningen.
Inkludera hänvisarinformation i HTTP-huvuden
Hänvisarpolicy HTTP-huvudet används för att styra hur mycket information om ursprunget för begäran (hänvisningsinformation) som avslöjas i HTTP-huvudena när en användare navigerar från en sida till en annan. Med det här sidhuvudet kan du kontrollera sekretess- och säkerhetsaspekter som är relaterade till hänvisarinformation.
| Värde | Beskrivning |
|---|---|
| Ingen hänvisare | Ingen hänvisare innebär att ingen hänvisarinformation skickas i huvudena. Denna inställning är det mest integritetsmedvetna alternativet. |
| Ingen hänvisare vid nedgradering | Den skickar fullständig hänvisningsinformation när man navigerar från en HTTPS- till en HTTP-webbplats, men endast ursprungsadressen (ingen sökväg eller fråga) när man navigerar mellan HTTPS-webbplatser. |
| Samma ursprung – hänvisarpolicy | Med samma ursprung skickas den fullständiga hänvisarinformationen endast när förfrågan har samma ursprung. För begäran för flera ursprung skickas endast ursprunget. |
| Ursprung | Ursprung skickar ursprunget av hänvisaren, men ingen sökväg eller frågeinformation, både för samma ursprung och begäran för flera ursprung. |
| Strikt ursprung | Liknar ursprung, men skickar endast hänvisarinformation för begäranden med samma ursprung. |
| Ursprung vid flera ursprung | Liknar ursprung, men skickar endast hänvisarinformation för begäranden med samma ursprung. |