Llegeix en anglès Edita

Comparteix a través de


Preguntes freqüents sobre la seguretat del Power Pages

Com ajuda Power Pages a protegir-se contra el segrest de clics?

Segrest de clics utilitza iFrames incrustats o altres components per segrestar les interaccions d'un usuari amb una pàgina web.
Power Pages proporciona la configuració del lloc HTTP/X-Frame-Options amb SAMEORIGIN per defecte per protegir-se contra atacs de clickjacking.

Més informació: Configurar les capçaleres HTTP al Power Pages

Power Pages és compatible amb la política de seguretat contingut?

El Power Pages és compatible amb CSP (norma de seguretat contingut). Es recomana fer proves exhaustives després d'habilitar CSP als llocs web del Power Pages.

Més informació: Gestionar la política de seguretat dels continguts del lloc web

El Power Pages és compatible amb la Norma de seguretat de transport estricte HTTP?

Per defecte, Power Pages admet redireccions HTTP a HTTPS. Si es marca, verifica si la sol·licitud es bloqueja al nivell de servei de l'aplicació. Si no és una sol·licitud correcta (codi de resposta >= 400), és un positiu fals.

Per què les eines de prova detecten/notifiquen les galetes sense indicadors HTTPOnly/SameSite?

El Power Pages estableix indicadors HTTPOnly/SameSite per a cada galeta crítica. Hi ha algunes galetes no crítiques per a les quals HTTPOnly/SameSite no està establert, i aquestes galetes no s'han de considerar una vulnerabilitat.

Més informació: Galetes al Power Pages

El meu informe de prova de llapis marca Final de vida / programari obsolet - Bootstrap 3. Què he de fer al respecte?

No es coneixen vulnerabilitats al Bootstrap 3; tanmateix, podeu migrar el vostre lloc a Bootstrap 5.

Quins xifratge admet el Power Pages? Quin és el full de ruta per avançar contínuament cap a xifratges més forts?

Tots els serveis i productes de Microsoft estan configurats per utilitzar el xifratges aprovats, en l'ordre exacte que dirigeix el Microsoft Crypto Board.

Per obtenir la llista completa en l'ordre exacte, vegeu la documentació de Power Platform.

La informació sobre l'obsolescència de les normes de xifratge es comunica a través de la Documentació de canvis importants del Power Platform.

Per què Power Pages continua donant suport als xifratges del RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que es consideren més febles?

Microsoft sospesa el risc relatiu i la interrupció de les operacions dels clients a l'hora de triar els xifratges compatibles. Encara no s'ha retirat el suport a la plataforma RSA-CBC. Els hem habilitat per garantir la coherència en tots els nostres serveis i productes, i per donar suport a totes les configuracions dels clients. Tanmateix, són al final de la llista de prioritats.

Deixem d'utilitzar els xifratges segons l'avaluació contínua que fa el Microsoft Crypto Board.

Més informació: Quins conjunts de xifratge de TLS 1.2 admet el Power Pages?

Com protegeix contra atacs Power Pages de denegació de servei distribuït (DDoS)?

El Power Pages està integrat a l'Microsoft Azure i utilitza la protecció de l'Azure DDoS protegir-se contra els atacs a DDoS. A més, habilitar OOB/AFD/WAF de tercers pot afegir més protecció al lloc.

Més informació:

L'informe de prova del meu llapis està marcant la vulnerabilitat al CKEditor. Com puc mitigar aquesta vulnerabilitat?

El control RTE PCF substitueix CKEditor aviat. Si voleu mitigar aquest problema abans del llançament del control RTE PCF, desactiveu CKEditor configurant la configuració del lloc DisableCkEditorBundle = true. Un camp de text substitueix CKEditor un cop inhabilitat.

Com puc protegir el meu lloc web contra atacs XSS?

Us recomanem que realitzeu la codificació HTML abans de representar les dades d'una font no fiable.

Més informació: Filtres de codificació disponibles.

Com puc protegir el meu lloc dels atacs d'injecció?

Per defecte, la característica de validació de sol·licituds ASP.Net està habilitada als Power Pages formularis per evitar atacs d'injecció de scripts. Si està creant el seu propi formulari utilitzant l'API, Power Pages incorpora diverses mesures per prevenir atacs d'injecció.

  • Assegureu-vos d'una correcta higienització de l'HTML quan gestioneu l'entrada de l'usuari des d'un formulari o qualsevol control de dades que utilitzi l'API web.
  • Implementeu la higienització d'entrada i sortida per a totes les dades d'entrada i sortida abans de representar-les a la pàgina. Això inclou dades obtingudes mitjançant líquid / WebAPI o inserides / actualitzades a través d'aquests Dataverse canals.
  • Si es necessiten comprovacions especials abans d'inserir o actualitzar les dades del formulari, podeu escriure connectors que s'executin per validar les dades al costat del servidor.

Més informació: Power Pages llibre blanc de seguretat.