進階設定 (預覽版)
[本主題是發行前版本文件,可能會在未來變更。]
安全性工作區可讓您直接從 Power Pages 設計工作室進一步保護網站內容,並保護資料免受安全性威脅。 使用進階設定快速有效率地設定網站的 HTTP 標頭、設定內容安全性原則 (CSP)、跨源資源分享 (CORS)、Cookie、權限等。
重要
- 這是預覽功能。
- 預覽功能不供生產時使用,而且可能功能受限。 這些功能是在正式發行前先行推出,讓客戶能夠搶先體驗並提供意見反應。
- 登入 Power Pages 並打開您的網站進行編輯。
- 從左側導覽中選擇安全性工作區,然後選擇進階設定 (預覽版)。
設定內容安全性原則 (CSP)
內容安全性原則 (CSP) 由 Web 伺服器用來強制執行網頁的一組安全性規則。 它有助於保護網站免受各種類型的安全性攻擊,例如跨網站指令碼 (XSS)、資料注入和其他程式碼注入攻擊。
指示詞
支援以下指示詞。
| 命令 | Description |
|---|---|
| 預設來源 | 指定其他指示詞未明確定義內容的預設來源。 它充當其他指示詞的遞補。 |
| 影像來源 | 指定影像的有效來源。 控制可以載入影像的網域。 |
| 字型來源 | 指定字型的有效來源。 用於控制可以載入 Web 字型的網域。 |
| 指令碼來源 | 指定 JavaScript 程式碼的有效來源。 指令碼來源可以包含特定網域,「self」表示同源,「unsafe-inline」表示內嵌指令碼,「nonce-xyz」表示具有特定隨機數的指令碼。 選擇啟用隨機數或注入不安全的 eval。 進一步了解管理網站的內容安全性原則:開啟隨機數 |
| 樣式來源 | 指定樣式表的有效來源。 與 script-src 類似,它可以包含網域、「self」、「unsafe-inline」和「nonce-xyz」。 |
| 連線來源 | 指定 XMLHttpRequest、WebSocket 或 EventSource 的有效來源。 控制頁面可以向其發出網路要求的網域。 |
| 媒體來源 | 指定音訊和視訊的有效來源。 用於控制可以從中載入媒體資源的網域。 |
| 框架原始碼 | 指定框架的有效來源。 控制頁面可以內嵌框架的網域。 |
| 框架上階 | 指定可以將目前頁面內嵌為框架的有效來源。 控制允許哪些網域內嵌頁面。 |
| 表單動作 | 指定表單提交的有效來源。 定義表單資料可以傳送到的網域。 |
| 物件來源 | 指定物件元素資源的有效來源,如 Flash 檔案或其他內嵌物件。 它有助於控制可以從哪些來源載入這些物件。 |
| 工作者來源 | 指定 Web Worker 的有效來源,包括專用 Worker、共用 Worker 和 Service Worker。 它有助於控制可以從哪些來源載入和執行這些工作指令碼。 |
| 資訊清單來源 | 指定 Web Worker 的有效來源,包括專用 Worker、共用 Worker 和 Service Worker。 它有助於控制可以從哪些來源載入和執行這些工作指令碼。 |
| 下層來源 | 指定 Web Worker 的有效來源,包括專用 Worker、共用 Worker 和 Service Worker。 它有助於控制可以從哪些來源載入和執行這些工作指令碼。 |
對於每個指示詞,您可以選擇特定的 URL、所有網域或無。
有關進階設定,前往管理網站的內容安全性原則:設定您網站的 CSP。
設定跨來源資源共用 (CORS)
Web 瀏覽器會使用跨來源資源共用 (CORS) 功能來允許或限制在一個網域中執行的 Web 應用程式要求和存取來自另一個網域的資源。
指示詞
支援以下指示詞。
| 命令 | Description | 值 |
|---|---|---|
| 允許從伺服器存取資源 | 也稱為 Access-Control-Allow-Origin,可協助伺服器決定允許哪些來源存取其資源。 來源可以是網域、協定和連接埠。 | 選擇網域網址 |
| 在伺服器要期間傳送標頭 | 也稱為 Access-Control-Allow-Headers,可協助定義可在來自不同來源的要求中傳送以便存取伺服器資源的標頭。 | 選擇具有以下權限的特定標頭 Origin Accept Authorization Content – type |
| 在用戶端程式碼中公開標頭值 | 該指示詞也稱為 Access-Control-Expose-Headers,指示瀏覽器應公開哪些回應標頭,並使其可供跨來源要求中的要求用戶端程式碼存取。 | 選擇具有以下權限的特定標頭 Origin Accept Authorization Content – type |
| 定義存取資源的方法 | 也稱為 Access-Control-Allow-Methods,可協助定義從不同來源存取伺服器資源時允許哪些 HTTP 方法。 | GET - 從指定資源要求資料 POST - 提交要處理的資料到指定資源 PUT - 更新或取代特定 URL 處的資源 HEAD - 與GET相同,但僅檢索標頭而不檢索實際內容 PATCH - 部分修改資源 OPTIONS -要求資訊關於可用於資源或伺服器的通訊選項 DELETE - 刪除指定的資源 |
| 指定快取要求結果的持續時間 | 也稱為 Access-Control-Max-Age,可協助定義瀏覽器可快取預檢要求結果的期間。 | 指定持續時間 (秒) |
| 允許網站共用認證 | 也稱為 Access-Control-Allow-Credentials,可協助定義確定網站是否可以在跨來源要求期間共用認證 (例如 Cookie、授權標頭或用戶端 SSL 憑證)。 | 是/否 |
| 在來源相同時將網頁顯示為 iFrame | 也稱為 X-Frame-Options,只有當要求來自相同來源時,才允許在 iframe 中顯示頁面。 | 是/否 |
| 阻止 MIME 探查 | 也稱為 X-Content-Type-Options: no-sniff,這有助於防止 Web 瀏覽器執行 MIME 類型 (內容類型) 探查或猜測資源的內容類型。 | 是/否 |
設定 Cookie (CSP)
HTTP 要求中的 Cookie 標頭包含有關網站先前儲存在您瀏覽器中的 Cookie 的資訊。 當您造訪某個網站時,您的瀏覽器會將包含與該網站關聯的所有相關 Cookie 的 Cookie 標頭送回伺服器。
指示詞
支援以下指示詞。
| 命令 | Description | 頁眉 |
|---|---|---|
| 所有 Cookie 的傳輸規則 | 控制跨來源要求傳送 Cookie 的方式。 這是一項安全性功能,旨在緩解某些類型的跨網站要求偽造 (CSRF) 和資訊洩露攻擊。 | 此設定對應於標頭 SameSite/Default。 |
| 特定 Cookie 的傳輸規則 | 控制跨來源要求傳送 Cookie 的方式。 這是一項安全性功能,旨在緩解某些類型的跨網站要求偽造 (CSRF) 和資訊洩露攻擊。 | 此設定對應於標頭 SameSite/Specific Cookie。 |
設定權限原則 (CSP)
許可權策略標頭允許 Web 開發人員控制在網頁上允許或拒絕哪些 Web 平臺功能。
指示詞
支援以下指示詞,並控制對其各自 API 的存取。
- Accelerometer
- Ambient-Light-Sensor
- 自動播放
- Battery
- 相機
- 顯示
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- 麥克風
- Midi
- Otp-Credentials
- 付款
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
設定更多 HTTP 標頭
允許透過 HTTPS 進行安全連線
與 HTTP Strict-Transport-Security 標頭對應的設定通知瀏覽器只能透過 HTTPS 連線到網站,即使使用者在網址列中輸入「http://」也是如此。 它透過確保與伺服器的所有通訊都經過加密來幫助防止中間人攻擊,並防止某些類型的攻擊,例如協定降級攻擊和 Cookie 劫持。
注意
出於安全性原因,此設定無法修改。
在 HTTP 標頭中包括參考者資訊
Referrer-Policy HTTP 標頭用於控制當使用者從一個頁面瀏覽到另一個頁面時,在 HTTP 標頭中公開多少有關要求來源的資訊 (參考者資訊)。 此標頭有助於控制與參考者資訊相關的隱私權和安全性。
| 值 | Description |
|---|---|
| 無參考者 | 無參考者表示標頭中不發送參考者資訊。 此設定是最注重隱私的選項。 |
| 降級時無參考者 | 從 HTTPS 瀏覽到 HTTP 網站時,它會傳送完整的參考者資訊,但在 HTTPS 網站之間瀏覽時,僅傳送來源資訊 (無路徑或查詢)。 |
| 相同來源 - 參考者原則 | 相同來源僅當要求來自相同來源時才傳送完整的參考者資訊。 對於跨來源要求,僅傳送來源。 |
| 原始來源 | 對於相同來源和跨來源要求,原始來源會傳送參考者的來源,但不會傳送路徑或查詢資訊。 |
| 嚴格來源 | 與來源類似,但只傳送相同來源要求的參考者資訊。 |
| 跨來源時的來源 | 與來源類似,但只傳送相同來源要求的參考者資訊。 |