Dela via

Hantera webbplatsens säkerhetspolicy för innehåll

  • Artikel

Säkerhetspolicy för innehåll (CSP) är ett extra lager med säkerhet som hjälper dig att identifiera och undvika vissa typer av webbangrepp, t.ex. datastöld, webbplatsdekrypering eller distribution av skadlig kod. CSP tillhandahåller en omfattande uppsättning policyer som hjälper dig att kontrollera vilka resurser en webbplatssida kan läsas in på. I varje direktiv definieras begränsningarna för en viss typ av resurs.

När CSP är aktiverat för en Power Pages-webbplats gör webbplatsen mer säker genom att blockera anslutningar, skript, teckensnitt och andra typer av resurser som kommer från okända eller skadliga källor.

CSP är inaktiverad som standard. Webbplatser kan dock kräva att CSP förbättrar annan säkerhet.

Använd programmet Portalhantering för att hantera CSP.

Stäl in webbplatsens CSP

  1. Logga in på Power Pages och öppna din webbplats för redigering.

  2. I vänstra panelen väljer du Fler objekt () >Portalhantering.

  3. I den vänstra sidopanelen i appen Portalhantering väljer du Webbplatsinställningar.

  4. Skapa eller redigera webbplatsinställningen HTTP/Content-Security-Policy.

  5. Ange de värden du behöver från CSP-referens, avgränsade med semikolon, till exempel script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Aktivera nonce

En nonce representerar en kod, vanligen numerisk, som är tänkt att användas endast en gång ("nummer en gång"). När du använder en nonce med din webbplats CSP genereras en unik kryptografisk kod och läggs till i varje skript som anges i CSP-rubriken. Endast infogade skript som har ett nonce-attribut som matchar det i CSP kan köras. Skript som kan ha förts in på sidan blockeras eftersom de inte innehåller nonce-attributet. Läs mer om att använda en nonce med CSP.

Power Pages-webbplatser har nonce endast stöd för infogade skript och infogade händelsehanterare.

För att aktivera nonce för din webbplats lägger du till värdet script-src 'nonce'; värde HTTP/Content-Security-Policy webbplatsinställningarna. Här följer några exempel.

  • Om du vill ha en strikt policy som inte tillåter att skript laddas från källor utanför en Power Pages-webbplats lägger du till följande värde i webbplatsinställningen HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Om du vill läsa in skript från en säker källa, lägg till följande värde: script-src https: 'nonce'

När nonce är aktiverat infogas unsafe-eval som stöd för automatisk utvärdering av osäker kod. För att stänga av den automatiska infogningen av unsafe-eval, ändra webbplatsinställning HTTP/Content-Security-Policy/Inject-unsafe-eval till Falsk. Tänk på att om infogning av unsafe-eval är inaktiverat kanske valideringen av automatiskt genererade fält i formulär med grundläggande eller flera steg inte längre fungerar korrekt.