การตั้งค่าขั้นสูง (พรีวิว)
[หัวข้อนี้คือเอกสารรุ่นก่อนวางจำหน่าย และอาจจะมีการเปลี่ยนแปลงในอนาคต]
พื้นที่ทำงานด้านความปลอดภัยช่วยให้คุณสามารถปกป้องเนื้อหาและข้อมูลจากไซต์ของคุณจากภัยคุกคามด้านความปลอดภัยได้โดยตรงจากสตูดิโอออกแบบ Power Pages ใช้การตั้งค่าขั้นสูงเพื่อกำหนดค่าส่วนหัว HTTP ของไซต์ของคุณอย่างรวดเร็วและมีประสิทธิภาพ กำหนดค่านโยบายความปลอดภัยเนื้อหา (CSP) การแบ่งปันทรัพยากรข้ามแหล่งที่มา (CORS) คุกกี้ การอนุญาต และอื่นๆ
สำคัญ
- นี่คือคุณลักษณะพรีวิว
- คุณลักษณะการแสดงตัวอย่างไม่ได้มีไว้สำหรับการนำไปใช้งานจริง และอาจมีการจำกัดฟังก์ชันการทำงาน คุณลักษณะเหล่านี้สามารถใช้ได้ก่อนการเปิดตัวอย่างเป็นทางการ เพื่อให้ลูกค้าสามารถเข้าใช้งานได้ก่อนเวลาและให้ข้อคิดเห็น
- ลงชื่อเข้าใช้ Power Pages และเปิดไซต์ของคุณสำหรับการแก้ไข
- เลือก พื้นที่ทำงานความปลอดภัย จากการนำทางด้านซ้าย แล้วเลือก การตั้งค่าขั้นสูง (พรีวิว)
กำหนดค่านโยบายความปลอดภัยของเนื้อหา (CSP)
เว็บเซิร์ฟเวอร์ใช้นโยบายการรักษาความปลอดภัยของเนื้อหา (CSP) เพื่อบังคับใช้ชุดกฎความปลอดภัยสำหรับเว็บเพจ ช่วยปกป้องไซต์จากการโจมตีความปลอดภัยประเภทต่างๆ เช่น การเขียนสคริปต์ข้ามไซต์ (XSS) การแทรกข้อมูล และการโจมตีด้วยการแทรกโค้ดอื่นๆ
คำสั่ง
ระบบสนับสนุนคำสั่งต่อไปนี้:
| คำสั่ง | คำอธิบาย |
|---|---|
| แหล่งที่มาเริ่มต้น | ระบุแหล่งที่มาเริ่มต้นสำหรับเนื้อหาที่ไม่ได้กำหนดไว้อย่างชัดเจนโดยคำสั่งอื่น มันทำหน้าที่เป็นทางเลือกสำรองสำหรับคำสั่งอื่น |
| แหล่งที่มาของรูปภาพ | ระบุแหล่งที่มาที่ถูกต้องสำหรับรูปภาพ ควบคุมโดเมนที่สามารถโหลดรูปภาพได้ |
| แหล่งที่มาของแบบอักษร | ระบุแหล่งที่มาที่ถูกต้องสำหรับตัวอักษร ใช้เพื่อควบคุมโดเมนที่สามารถโหลดแบบอักษรของเว็บได้ |
| แหล่งที่มาของสคริปต์ | ระบุแหล่งที่มาที่ถูกต้องสำหรับโค้ด JavaScript แหล่งที่มาของสคริปต์สามารถประกอบด้วยโดเมนที่ระบุ 'self' สำหรับต้นทางเดียวกัน 'unsafe-inline' สำหรับสคริปต์อินไลน์ และ 'nonce-xyz' สำหรับสคริปต์ที่มี nonce เฉพาะเจาะจง เลือกที่จะเปิดใช้งาน nonce หรือฉีดการประเมินที่ไม่ปลอดภัย เรียนรู้เพิ่มเติมที่ จัดการนโยบายความปลอดภัยของเนื้อหาของที่ตั้ง: เปิด Nonce |
| แหล่งที่มาของสไตล์ | ระบุแหล่งที่มาที่ถูกต้องสำหรับสไตล์ชีต เช่นเดียวกับ script-src สามารถรวมโดเมน 'self', 'unsafe-inline' และ 'nonce-xyz' |
| เชื่อมต่อแหล่งที่มา | ระบุแหล่งที่มาที่ถูกต้องสำหรับ XMLHttpRequest, WebSocket หรือ EventSource ควบคุมโดเมนที่เพจสามารถสร้างคำขอเครือข่ายได้ |
| แหล่งที่มาของสื่อ | ระบุแหล่งที่มาที่ถูกต้องสำหรับเสียงและวิดีโอ ใช้เพื่อควบคุมโดเมนที่สามารถโหลดแบบแหล่งข้อมูลของสื่อได้ |
| แหล่งที่มาของเฟรม | ระบุแหล่งที่มาที่ถูกต้องสำหรับเฟรม ควบคุมโดเมนที่เพจสามารถฝังเฟรมได้ |
| Frame Ancestors | ระบุแหล่งที่มาที่ถูกต้องซึ่งสามารถฝังเพจปัจจุบันเป็นเฟรมได้ ควบคุมว่าโดเมนใดได้รับอนุญาตให้ฝังเพจ |
| ฟอร์มดำเนินการ | ระบุแหล่งที่มาที่ถูกต้องสำหรับการส่งแบบฟอร์ม กำหนดโดเมนที่สามารถส่งข้อมูลแบบฟอร์มไปได้ |
| แหล่งที่มาของออบเจ็กต์ | ระบุแหล่งที่มาที่ถูกต้องสำหรับทรัพยากรขององค์ประกอบออบเจ็กต์ เช่น ไฟล์ Flash หรือออบเจ็กต์ฝังตัวอื่นๆ ช่วยควบคุมว่าสามารถโหลดออบเจ็กต์เหล่านี้ได้จากต้นทางใด |
| แหล่งที่มาของผู้ปฏิบัติงาน | ระบุแหล่งที่มาที่ถูกต้องสำหรับคนทำงานเว็บ รวมถึงคนทำงานเฉพาะ คนทำงานที่ใช้ร่วมกัน และพนักงานบริการ ช่วยควบคุมว่าสามารถโหลดสคริปต์ของคนทำงานเหล่านี้และการดำเนินการได้จากต้นทางใด |
| แหล่งที่มาของไฟล์กำกับ | ระบุแหล่งที่มาที่ถูกต้องสำหรับคนทำงานเว็บ รวมถึงคนทำงานเฉพาะ คนทำงานที่ใช้ร่วมกัน และพนักงานบริการ ช่วยควบคุมว่าสามารถโหลดสคริปต์ของคนทำงานเหล่านี้และการดำเนินการได้จากต้นทางใด |
| แหล่งที่มารอง | ระบุแหล่งที่มาที่ถูกต้องสำหรับคนทำงานเว็บ รวมถึงคนทำงานเฉพาะ คนทำงานที่ใช้ร่วมกัน และพนักงานบริการ ช่วยควบคุมว่าสามารถโหลดสคริปต์ของคนทำงานเหล่านี้และการดำเนินการได้จากต้นทางใด |
สำหรับแต่ละคำสั่ง คุณสามารถเลือก URL เฉพาะ โดเมนทั้งหมด หรือไม่ก็ได้
สำหรับการกำหนดค่าขั้นสูง ไปที่ จัดการนโยบายความปลอดภัยของเนื้อหาของไซต์ของคุณ: ตั้งค่า CSP ของไซต์
กำหนดค่าการแชร์ทรัพยากรข้ามต้นทาง (CORS)
เว็บเบราว์เซอร์จะใช้การแชร์ทรัพยากรข้ามแหล่งกำเนิด (CORS) เพื่ออนุญาตหรือจำกัดแอปพลิเคชันเว็บที่ทำงานในโดเมนหนึ่ง เพื่อขอและเข้าถึงทรัพยากรจากโดเมนอื่น
คำสั่ง
ระบบสนับสนุนคำสั่งต่อไปนี้:
| คำสั่ง | คำอธิบาย | Value(s) |
|---|---|---|
| อนุญาตให้เข้าถึงทรัพยากรจากเซิร์ฟเวอร์ | หรือที่เรียกว่า Access-Control-Allow-Origin ช่วยให้เซิร์ฟเวอร์ตัดสินใจว่าต้นทางใดที่ได้รับอนุญาตให้เข้าถึงทรัพยากรของตน ต้นทางอาจเป็นโดเมน โปรโตคอล และพอร์ตได้ | เลือก URL โดเมน |
| ส่งส่วนหัวในระหว่างคำขอของเซิร์ฟเวอร์ | นอกจากนี้ยังรู้จักกันในชื่อ Access-Control-Allow-Headers ซึ่งจะช่วยกำหนดส่วนหัวที่สามารถส่งเป็นคำขอจากต้นทางอื่นเพื่อเข้าถึงทรัพยากรบนเซิร์ฟเวอร์ | เลือกส่วนหัวเฉพาะที่มีสิทธิ์ต่อไปนี้ กำเนิด ยอมรับ การอนุญาต เนื้อหา – ประเภท |
| เปิดเผยค่าของส่วนหัวในโค้ดฝั่งไคลเอ็นต์ | คำสั่งนี้เรียกอีกอย่างว่า Access-Control-Expose-Headers โดยจะสั่งให้เบราว์เซอร์ทราบว่าควรเปิดเผยส่วนหัวการตอบกลับใด และทำให้โค้ดฝั่งไคลเอ็นต์ที่ร้องขอในคำขอแบบข้ามต้นทางเข้าถึงได้ | เลือกส่วนหัวเฉพาะที่มีสิทธิ์ต่อไปนี้ กำเนิด ยอมรับ การอนุญาต เนื้อหา – ประเภท |
| กำหนดวิธีการในการเข้าถึงทรัพยากร | นอกจากนี้ยังรู้จักกันในชื่อ Access-Control-Allow-Methods ซึ่งจะช่วยกำหนดวิธี HTTP ที่ได้รับอนุญาตเมื่อเข้าถึงทรัพยากรบนเซิร์ฟเวอร์จากต้นทางอื่น | GET - ร้องขอข้อมูลจากทรัพยากรที่ระบุ POST - ส่งข้อมูลที่จะประมวลผลไปยังทรัพยากรที่ระบุ PUT - อัปเดตหรือแทนที่ทรัพยากรที่ URL ที่ระบุ HEAD -เหมือนกับ GET แต่ดึงเฉพาะส่วนหัวและไม่ใช่เนื้อหาจริง PATCH - แก้ไขทรัพยากรบางส่วน ตัวเลือก - ขอข้อมูลเกี่ยวกับตัวเลือกการสื่อสารที่มีให้สำหรับทรัพยากรหรือเซิร์ฟเวอร์ ลบ - ลบทรัพยากรที่ระบุ |
| ระบุระยะเวลาสำหรับการแคชผลลัพธ์ของคำขอ | นอกจากนี้ยังรู้จักกันในชื่อ Access-Control-Max-Age ซึ่งจะช่วยกำหนดระยะเวลาที่เบราว์เซอร์สามารถแคชผลลัพธ์ของคำขอนำร่องได้ | ระบุระยะเวลาในครั้ง (วินาที) |
| อนุญาตให้ไซต์แชร์ข้อมูลประจำตัว | นอกจากนี้ยังรู้จักกันในชื่อ Access-Control-Allow-Credentials ซึ่งจะช่วยกำหนดว่าไซต์จะสามารถแชร์ข้อมูลประจำตัว เช่น คุกกี้ ส่วนหัวของข้อมูลรับรองความถูกต้อง หรือใบรับรอง SSL ฝั่งไคลเอ็นต์ ระหว่างคำขอข้ามต้นทางได้หรือไม่ | ใช่/ไม่ |
| แสดงหน้าเว็บเป็น iFrame จากต้นทางเดียวกัน | นอกจากนี้ยังรู้จักกันในชื่อ X-Frame-Options ซึ่งจะอนุญาตให้หน้าเว็บแสดงใน iFrame ได้ก็ต่อเมื่อคำขอมาจากต้นทางเดียวกันเท่านั้น | ใช่/ไม่ |
| ปิดกั้นการดักจับข้อมูลแบบ MIME | นอกจากนี้ยังรู้จักกันในชื่อ X-Content-Type-Options: no-sniff ซึ่งจะช่วยป้องกันไม่ให้เว็บเบราว์เซอร์ทำการสอดแนมชนิด MIME (ชนิดเนื้อหา) หรือเดาชนิดเนื้อหาของทรัพยากร | ใช่/ไม่ |
กำหนดค่าคุกกี้ (CSP)
ส่วนหัวของคุกกี้ในคำขอ HTTP มีข้อมูลเกี่ยวกับคุกกี้ที่เว็บไซต์เคยจัดเก็บไว้ก่อนหน้านี้ในเบราว์เซอร์ของคุณ เมื่อคุณเยี่ยมชมเว็บไซต์ เบราว์เซอร์ของคุณจะส่งส่วนหัวของคุกกี้ที่มีคุกกี้ที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับไซต์นั้นกลับไปยังเซิร์ฟเวอร์
คำสั่ง
ระบบสนับสนุนคำสั่งต่อไปนี้:
| คำสั่ง | คำอธิบาย | ส่วนหัว |
|---|---|---|
| กฎการโอนสำหรับคุกกี้ทั้งหมด | ควบคุมวิธีการส่งคุกกี้ด้วยคำขอข้ามต้นทาง เป็นคุณลักษณะด้านความปลอดภัยที่มีจุดมุ่งหมายเพื่อบรรเทาการปลอมแปลงคำขอข้ามไซต์ (CSRF) บางประเภทและการโจมตีการรั่วไหลของข้อมูล | การตั้งค่านี้สอดคล้องกับส่วนหัว SameSite/Default |
| กฎการโอนสำหรับคุกกี้ที่จำเพาะเจาะจง | ควบคุมวิธีการส่งคุกกี้ด้วยคำขอข้ามต้นทาง เป็นคุณลักษณะด้านความปลอดภัยที่มีจุดมุ่งหมายเพื่อบรรเทาการปลอมแปลงคำขอข้ามไซต์ (CSRF) บางประเภทและการโจมตีการรั่วไหลของข้อมูล | การตั้งค่านี้สอดคล้องกับส่วนหัว SameSite/Specific cookie |
กำหนดค่าสิทธิ์นโยบาย (CSP)
ส่วนหัว Permissions-Policy ช่วยให้นักพัฒนาเว็บสามารถควบคุมคุณลักษณะแพลตฟอร์มเว็บที่อนุญาตหรือปฏิเสธบนหน้าเว็บได้
คำสั่ง
รองรับคำสั่งต่อไปนี้และควบคุมการเข้าถึง API ที่เกี่ยวข้อง
- Accelerometer
- Ambient-Light-Sensor
- เล่นอัตโนมัติ
- Battery
- กล้อง
- แสดงผล
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- ไมโครโฟน
- Midi
- Otp-Credentials
- การชำระเงิน
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
กำหนดค่า HTTP Headers เพิ่มเติม
อนุญาตการเชื่อมต่อที่ปลอดภัยผ่าน HTTPS
การตั้งค่าที่สอดคล้องกับส่วนหัว HTTP Strict-Transport-Security จะแจ้งให้เบราว์เซอร์ทราบว่าควรเชื่อมต่อกับเว็บไซต์ผ่าน HTTPS เท่านั้น แม้ว่าผู้ใช้จะป้อน "http://" ในแถบที่อยู่ก็ตาม ช่วยป้องกันการโจมตีแบบแทรกกลางโดยทำให้แน่ใจว่าการสื่อสารทั้งหมดกับเซิร์ฟเวอร์ได้รับการเข้ารหัส และป้องกันการโจมตีบางประเภท เช่น การโจมตีดาวน์เกรดโปรโตคอล และการแย่งชิงคุกกี้
หมายเหตุ
ด้วยเหตุผลด้านความปลอดภัย การตั้งค่านี้ไม่สามารถแก้ไขได้
ใส่ข้อมูลผู้อ้างอิงไว้ในส่วนหัว HTTP
ส่วนหัว HTTP นโยบายผู้อ้างอิงใช้เพื่อควบคุมจำนวนข้อมูลเกี่ยวกับที่มาของคำขอ (ข้อมูลผู้อ้างอิง) ที่จะเปิดเผยในส่วนหัว HTTP เมื่อผู้ใช้นำทางจากหน้าหนึ่งไปอีกหน้าหนึ่ง ส่วนหัวนี้ช่วยควบคุมความเป็นส่วนตัวและความปลอดภัยที่เกี่ยวข้องกับข้อมูลผู้อ้างอิง
| มูลค่า | คำอธิบาย |
|---|---|
| ไม่มีผู้อ้างอิง | ไม่มีผู้อ้างอิงหมายความว่าจะไม่มีการส่งข้อมูลผู้อ้างอิงในส่วนหัว การตั้งค่านี้เป็นตัวเลือกที่คำนึงถึงความเป็นส่วนตัวมากที่สุด |
| ไม่มีผู้อ้างอิงเมื่อดาวน์เกรด (Downgrade) | โดยจะส่งข้อมูลผู้อ้างอิงแบบเต็มเมื่อนำทางจาก HTTPS ไปยังไซต์ HTTP แต่จะส่งข้อมูลต้นทางเท่านั้น (ไม่มีเส้นทางหรือแบบสอบถาม) เมื่อนำทางระหว่างไซต์ HTTPS |
| ต้นกำเนิดเดียวกัน - นโยบายผู้อ้างอิง | ต้นกำเนิดเดียวกันจะส่งข้อมูลผู้อ้างอิงแบบเต็มเมื่อคำขอไปยังแหล่งกำเนิดเดียวกันเท่านั้น สำหรับคำขอข้ามต้นทาง ระบบจะส่งเฉพาะต้นทางเท่านั้น |
| ต้นเรื่อง | Origin จะส่งต้นทางของผู้อ้างอิง แต่ไม่มีเส้นทางหรือข้อมูลการสืบค้น ทั้งสำหรับคำขอที่มีต้นกำเนิดเดียวกันและข้ามต้นทาง |
| ต้นทางที่เข้มงวด | คล้ายกับต้นทาง แต่จะส่งข้อมูลผู้อ้างอิงสำหรับคำขอที่มีต้นทางเดียวกันเท่านั้น |
| ต้นทางเมื่อข้ามต้นทาง | คล้ายกับต้นทาง แต่จะส่งข้อมูลผู้อ้างอิงสำหรับคำขอที่มีต้นทางเดียวกันเท่านั้น |