通过

高级设置(预览版)

  • 项目

[本主题是预发行文档,有可能会有所更改。]

安全工作区允许您直接从 Power Pages 设计工作室进一步保护您的网站内容和数据免受安全威胁。 使用高级设置快速有效地配置站点的 HTTP 头,配置内容安全策略 (CSP)、跨源资源共享 (CORS)、cookie、权限等。

重要提示

  • 这是一项预览功能。
  • 预览功能不适合生产使用且功能可能受限。 这些功能在正式发布之前推出,以便客户可以提前使用并提供反馈。
  1. 登录到 Power Pages,并打开您的站点进行编辑。
  2. 从左侧导航栏中选择安全工作区,然后选择高级设置(预览)

配置内容安全策略 (CSP)

web 服务器使用内容安全策略 (CSP) 来为网页实施一组安全规则。 它有助于保护站点免受各种类型的安全攻击,如跨站点脚本 (XSS)、数据注入和其他代码注入攻击。

指令

支持以下指令。

指令 描述
默认源 为其他指令未明确定义的内容指定默认源。 充当其他指令的备用内容。
图像源 指定图像的有效来源。 控制可以从中加载图像的域。
字体源 指定字体的有效来源。 用于控制可以加载 web 字体的域。
脚本源 指定 JavaScript 代码的有效源。 脚本源可以包括特定的域,“self”表示相同的源,“unsafe-inline”表示内联脚本,“nonce-xyz”表示具有特定 nonce 的脚本。 选择启用 nonce 或注入不安全的 eval。
了解更多信息,请访问管理您站点的内容安全策略:启用 nonce
样式源 指定样式表的有效源。 与 script-src 类似,它可以包括域、“self”、“unsafe-inline”和“nonce-xyz”。
连接源 为 XMLHttpRequest、WebSocket 或 EventSource 指定有效的源。 控制页面可以向其发出网络请求的域。
媒体源 指定有效的音频和视频源。 用于控制可以从中加载媒体资源的域。
帧源 指定框架的有效来源。 控制页面可以嵌入框架的域。
Frame Ancestors 指定可以将当前页面作为框架嵌入的有效源。 控制允许嵌入页面的域。
表单操作 指定表单提交的有效来源。 定义表单数据可以发送到的域。
对象源 指定对象元素资源的有效来源,如 Flash 文件或其他嵌入对象。 有助于控制这些对象可以从哪个原点加载。
工作人员源 指定 web 工作线程的有效源,包括专用工作线程、共享工作线程和服务工作线程。 有助于控制这些工作脚本可以从哪个来源加载和执行。
清单源 指定 web 工作线程的有效源,包括专用工作线程、共享工作线程和服务工作线程。 有助于控制这些工作脚本可以从哪个来源加载和执行。
子源 指定 web 工作线程的有效源,包括专用工作线程、共享工作线程和服务工作线程。 有助于控制这些工作脚本可以从哪个来源加载和执行。

对于每个指令,您可以选择特定 URL、所有域或无。

对于高级配置,请访问管理您站点的内容安全策略:设置您站点的 CSP

配置跨来源资源共享 (CORS)

web 浏览器使用跨源资源共享 (CORS)来允许或限制在一个域中运行的 web 应用程序从另一个域请求和访问资源。

指令

支持以下指令。

指令 描述
允许从服务器访问资源 也称为 Access-Control-Allow-Origin,帮助服务器决定允许哪些源访问其资源。 来源可以是域、协议和端口。 选择域 URL
在服务器请求期间发送标头 又称 Access-Control-Allow-Headers,帮助定义可以在不同来源的请求中发送哪些标头,以访问服务器上的资源。 选择具有以下权限的特定邮件标头
来源
接受
授权
内容 - 类型
在客户端代码中公开标头值 也称为 Access-Control-Expose-Headers,该指令指示浏览器应该公开哪些响应标头,并使跨来源请求中的请求客户端代码可以访问这些响应标头。 选择具有以下权限的特定邮件标头
来源
接受
授权
内容 - 类型
定义访问资源的方法 也称为 Access-Control-Allow-Methods,有助于定义从不同来源访问服务器上的资源时允许哪些 HTTP 方法。 GET - 从指定的资源请求数据
POST - 提交要处理的数据到指定的资源
PUT - 更新或替换特定 URL 处的资源
HEAD - 与 GET 相同,但只检索标头而不检索实际内容
PATCH - 部分修改资源
OPTIONS - 请求有关资源或服务器可用的通信选项的信息
DELETE - 删除指定的资源
指定缓存请求结果的时长 又称 Access-Control-Max-Age,帮助定义浏览器可缓存预检请求结果的时长。 指定持续时间(秒)
允许站点共享凭据 又称 Access-Control-Allow-Credentials,帮助定义站点能否在跨源请求期间共享凭据,例如 Cookie、授权标头或客户端 SSL 证书。 是/否
将网页显示为来自相同源的 iFrame 又称 X-Frame-Options,仅当请求来自相同的源时,才允许页面显示在 iframe 中。 是/否
阻止 MIME 嗅探 又称 X-Content-Type-Options: no-sniff,可帮助阻止 Web 浏览器执行 MIME 类型(内容类型)嗅探或猜测资源的内容类型。 是/否

配置 Cookie (CSP)

HTTP 请求中的 Cookie 标头包含以前由网站存储在您的浏览器中的 Cookie 信息。 当您访问一个网站时,您的浏览器会将一个包含与该网站相关的所有 Cookie 的 Cookie 标头发送回服务器。

指令

支持以下指令。

指令 描述 页眉
所有 cookie 的传输规则 控制跨来源请求如何发送 cookie。 这是一项安全功能,旨在缓解某些类型的跨站点请求伪造 (CSRF) 和信息泄漏攻击。 该设置对应于标头 SameSite/Default。
特定 cookie 的传输规则 控制跨来源请求如何发送 cookie。 这是一项安全功能,旨在缓解某些类型的跨站点请求伪造 (CSRF) 和信息泄漏攻击。 该设置对应于标头 SameSite/Specific cookie。

配置权限-策略 (CSP)

“权限策略”标题允许 Web 开发人员控制在网页上允许或拒绝哪些 Web 平台功能。

指令

支持以下指令,并控制对其各自 API 的访问。

  • Accelerometer
  • Ambient-Light-Sensor
  • 自动播放
  • Battery
  • 相机
  • 显示
  • Document-Domain
  • Encrypted-Media
  • Execution-While-Not-Rendered
  • Execution-While-Out-Of-Viewport
  • Fullscreen
    Gamepad
  • Geolocation
  • Gyroscope
  • Hid
  • Identity-Credentials-Get
  • Idle-Detection
  • Local-Fonts
  • Magnetometer
  • 麦克风
  • Midi
  • Otp-Credentials
  • 付款
  • Picture-In-Picture
  • Publickey-Credentials-Create
  • Publickey-Credentials-Get
  • Screen-Wake-Lock
  • Serial
  • Speaker-Selection
  • Storage-Access
  • Usb
  • Web-Share
  • Window-Management
  • Xr-Spatial-Tracking

配置更多 HTTP 标头

允许通过 HTTPS 的安全连接

与 HTTP Strict-Transport-Security 标头相对应的设置可为浏览器提供信息,即使用户在地址栏中输入“http://”,浏览器也只能通过 HTTPS 连接到网站。 它有助于防止中间人攻击,方法是确保与服务器的所有通信都是加密的,并防止某些类型的攻击,如协议降级攻击和 cookie 劫持。

备注

出于安全原因,无法修改此设置。

在 HTTP 标头中包含引用者信息

Referrer-Policy HTTP 标头用于控制当用户从一个页面导航到另一个页面时,在 HTTP 标头中公开多少关于请求来源的信息(引用者信息)。 此标题有助于控制与引用者信息相关的隐私和安全方面。

价值 描述
无引荐者 非引用者表示不在标头中发送引用者信息。 此设置是最注重隐私的选项。
降级时无引荐者 当从一个 HTTPS 导航到一个 HTTP 站点时,它发送完整的引用者信息,但当在 HTTPS 站点之间导航时,它只发送来源(没有路径或查询)。
相同来源 - 引用者 - 策略 相同来源仅当请求发送到相同来源时才发送完整的引用者信息。 对于跨来源请求,仅发送来源。
起源 来源发送引用者的来源,但不发送路径或查询信息,对于同源和跨源请求都是如此。
严格的来源 与来源类似,但只发送同源请求的引荐者信息。
跨源时的来源 与来源类似,但只发送同源请求的引荐者信息。