แชร์ผ่าน

จัดการนโยบายความปลอดภัยของเนื้อหาของไซต์ของคุณ

  • บทความ

นโยบายความปลอดภัยของเนื้อหา (CSP) เป็นชั้นการรักษาความปลอดภัยพิเศษที่ช่วยตรวจหาและลดการโจมตีบนเว็บบางประเภท เช่น การขโมยข้อมูล การทำให้ไซต์เสียหาย หรือการกระจายมัลแวร์ CSP จัดเตรียมชุดคำสั่งนโยบายที่ครอบคลุมซึ่งช่วยควบคุมทรัพยากรที่อนุญาตให้โหลดหน้าไซต์ได้ แต่ละคำสั่งกำหนดข้อจำกัดสำหรับประเภทของทรัพยากรเฉพาะ

เมื่อเปิด CSP สำหรับเว็บไซต์ Power Pages จะช่วยเพิ่มความปลอดภัยให้ไซต์มากขึ้นโดยการบล็อกการเชื่อมต่อ สคริปต์ แบบอักษร และทรัพยากรประเภทอื่นๆ ที่มาจากแหล่งที่ไม่รู้จักหรือแหล่งที่เป็นอันตราย

ตามค่าเริ่มต้น CSP จะปิดไว้ อย่างไรก็ตาม เว็บไซต์อาจต้องใช้ CSP เพื่อเพิ่มความปลอดภัยอื่นๆ

ใช้ แอปการจัดการพอร์ทัล เพื่อจัดการ CSP

ตั้งค่า CSP ของไซต์ของคุณ

  1. ลงชื่อเข้าใช้ Power Pages และเปิดไซต์ของคุณสำหรับการแก้ไข

  2. ในแผงด้านซ้าย ให้เลือก การดำเนินการเพิ่มเติม () >การจัดการพอร์ทัล

  3. ในแผงด้านซ้ายของแอปการจัดการพอร์ทัล ให้เลือก การตั้งค่าไซต์

  4. สร้างหรือแก้ไขการตั้งค่าเว็บไซต์ HTTP/Content-Security-Policy

  5. ตั้งค่าที่คุณต้องการจาก การอ้างอิง CSP ที่คั่นด้วยเครื่องหมายอัฒภาค ตัวอย่างเช่น script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

เปิด nonce

nonce แสดงถึงโค้ด ซึ่งโดยปกติจะเป็นตัวเลข ซึ่งควรใช้เพียงครั้งเดียว ("ตัวเลขครั้งเดียว") เมื่อคุณใช้ nonce กับ CSP ของไซต์ของคุณ โค้ดการเข้ารหัสที่ไม่ซ้ำกันจะถูกสร้างและเพิ่มไปยังแต่ละสคริปต์ที่ระบุในส่วนหัว CSP เฉพาะสคริปต์แบบอินไลน์ที่มีแอตทริบิวต์ nonce ที่ตรงกับสคริปต์ใน CSP เท่านั้นที่ได้รับอนุญาตให้ทำงาน สคริปต์ที่ผู้โจมตีอาจแทรกลงในเพจถูกบล็อกเนื่องจากไม่มีแอตทริบิวต์ nonce เรียนรู้เพิ่มเติมเกี่ยวกับการใช้ nonce กับ CSP

ในไซต์ Power Pages nonce สนับสนุนสคริปต์แบบอินไลน์และตัวจัดการเหตุการณ์แบบอินไลน์เท่านั้น

หากต้องการเปิด Nonce สำหรับไซต์ของคุณ ให้เพิ่มค่า script-src 'nonce'; ไปยังการตั้งค่าไซต์ HTTP/Content-Security-Policy ตัวอย่างมีดังต่อไปนี้

  • หากคุณต้องการนโยบายที่เคร่งครัดที่ไม่อนุญาตให้สคริปต์โหลดจากแหล่งภายนอกของไซต์ Power Pages ให้เพิ่มค่าต่อไปนี้ลงในการตั้งค่าไซต์ HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • หากคุณต้องการโหลดสคริปต์จากแหล่งที่ปลอดภัย ให้เพิ่มค่าต่อแไปนี้: script-src https: 'nonce'

เมื่อเปิด nonce unsafe-eval จะถูกแทรกเพื่อสนับสนุนการประเมินโค้ดที่ไม่ปลอดภัยโดยอัตโนมัติ หากต้องการปิดการนำเข้าอัตโนมัติของ unsafe-eval ให้เปลี่ยนการตั้งค่าไซต์ HTTP/Content-Security-Policy/Inject-unsafe-eval เป็น เท็จ โปรดทราบว่าหากปิดการนำเข้า unsafe-eval การตรวจสอบความถูกต้องของฟิลด์ที่สร้างขึ้นโดยอัตโนมัติในฟอร์ม พื้นฐาน หรือ แบบหลายขั้นตอน อาจทำงานไม่ถูกต้องอีกต่อไป