แชร์ผ่าน

จัดการนโยบายความปลอดภัยของเนื้อหา

  • บทความ

หมายเหตุ

พอร์ทัล Power Apps คือ Power Pages โดยมีผลในวันที่ 12 ตุลาคม 2022 ข้อมูลเพิ่มเติม: Microsoft Power Pages มีให้ใช้งานทั่วไป (บล็อก)
ในไม่ช้าเราจะย้ายและรวมคู่มือพอร์ทัล Power Apps เข้ากับ คู่มือ Power Pages

นโยบายความปลอดภัยของเนื้อหา (CSP) เป็นชั้นการรักษาความปลอดภัยพิเศษที่ช่วยตรวจหาและลดการโจมตีบนเว็บบางประเภท เช่น การขโมยข้อมูล การทำให้ไซต์เสียหาย หรือการกระจายมัลแวร์ CSP จัดเตรียมชุดคำสั่งนโยบายที่ครอบคลุมซึ่งช่วยควบคุมทรัพยากรที่อนุญาตให้โหลดหน้าไซต์ได้ แต่ละคำสั่งกำหนดข้อจำกัดสำหรับประเภทของทรัพยากรเฉพาะ

เมื่อเปิด CSP สำหรับเว็บไซต์พอร์ทัล จะช่วยเพิ่มความปลอดภัยโดยการบล็อกการเชื่อมต่อ สคริปต์ แบบอักษร และทรัพยากรประเภทอื่นๆ ที่มาจากแหล่งที่ไม่รู้จักหรือแหล่งที่เป็นอันตราย CSP ถูกปิดโดยค่าเริ่มต้นในพอร์ทัล อย่างไรก็ตาม เว็บไซต์จำนวนมากอาจต้องการ CSP เพื่อเพิ่มความปลอดภัยอื่นๆ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CSP ไปที่ ข้อมูลอ้างอิงนโยบายความปลอดภัยของเนื้อหา

กำหนดค่า CSP

  1. ลงชื่อเข้าใช้ Power Apps

  2. ตรวจสอบให้แน่ใจว่าคุณอยู่ในสภาพแวดล้อมที่ซึ่งมีพอร์ทัลของคุณอยู่

  3. ในบานหน้าต่างนำทางด้านซ้าย เลือก แอป และเลือก แอป การจัดการพอร์ทัล

    ตัวเลือกเมนูแอปสำหรับ Power Apps ที่มีการเลือกแอปจัดการพอร์ทัล

  4. บนบานหน้าต่างด้านซ้าย เลือก การตั้งค่าไซต์

  5. สร้าง (หรือปรับปรุง) การตั้งค่าไซต์ HTTP/Content-Security-Policy และตั้งค่าที่คุณต้องการจากหน้า ข้อมูลอ้างอิง CSP ที่คั่นด้วยเครื่องหมายอัฒภาค

    ตัวอย่างเช่น

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    ตัวเลือกเมนูการตั้งค่าไซต์สำหรับ Power Apps

เปิดใช้งาน Nonce

การเปิดใช้งาน nonce (จำนวนที่ใช้ครั้งเดียว) จะบล็อกการทำงานของสคริปต์อินไลน์ทั้งหมด ยกเว้นที่ระบุไว้ในสคริปต์แบบอินไลน์ มีการสร้าง Nonce การเข้ารหัสที่ไม่ซ้ำกันและเพิ่มไปยังแต่ละสคริปต์ที่ระบุในส่วนหัว CSP ในพอร์ทัล Nonce สนับสนุนสคริปต์แบบอินไลน์และตัวจัดการเหตุการณ์แบบอินไลน์เท่านั้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Nonce ไปที่ การใช้ Nonce กับ CSP

หากต้องการเปิดใช้งาน Nonce ในพอร์ทัล ให้เพิ่มค่า script-src 'nonce'; ไปยังการตั้งค่าไซต์ HTTP/Content-Security-Policy

ตัวอย่าง

หากคุณต้องการนโยบายที่เข้มงวดและไม่ต้องการอนุญาตให้โหลดสคริปต์จากแหล่งที่มาภายนอกพอร์ทัล ใช้ต่อไปนี้:

script-src 'self' content.powerapps.com 'nonce'

หากคุณต้องการโหลดสคริปต์จากแหล่งที่ปลอดภัย ใช้ต่อไปนี้:

script-src https: 'nonce'

หมายเหตุ

  • เมื่อเปิดใช้งาน nonce unsafe-eval จะถูกนำเข้าโดยอัตโนมัติเพื่อรองรับการตรวจสอบอัตโนมัติของโค้ดที่ไม่ปลอดภัย หากต้องการปิดใช้งานการนำเข้าอัตโนมัติของ unsafe-eval ให้ปรับปรุงการตั้งค่าไซต์ HTTP/Content-Security-Policy/Inject-unsafe-eval เป็น เท็จ
  • หากปิดใช้งานการนำเข้า unsafe-eval การตรวจสอบฟิลด์ที่สร้างโดยอัตโนมัติในฟอร์ม พื้นฐาน หรือ ขั้นสูง อาจทำงานไม่ถูกต้องอีกต่อไป