Číst v angličtině Upravit

Sdílet prostřednictvím


Nejčastější dotazy k zabezpečení Power Pages

Jak Power Pages pomáhá chránit před riziky clickjackingu?

Clickjacking používá mimo jiné vložené prvky iframe k únosu interakcí uživatele s webovou stránkou.
Power Pages poskytuje nastavení webu HTTP/X-Frame-Options s výchozím SAMEORIGIN pro ochranu před útoky typu clickjacking.

Další informace: Nastavení záhlaví HTTP v portálech Power Pages

Podporuje Power Pages zásady zabezpečení obsahu (CSP)?

Power Pages podporuje zásady zabezpečení obsahu (CSP). Po zapnutí CSP na webech Power Pages se doporučuje rozsáhlé testování.

Další informace: Správa zásad zabezpečení obsahu vašeho webu

Podporuje Power Pages zásady zabezpečení Strict Transport (HTTP)?

Ve výchozím nastavení Power Pages podporuje přesměrování z HTTP na HTTPS. Pokud je označeno, ověřte, zda je požadavek blokován na úrovni App Service. Pokud se nejedná o úspěšný požadavek (kód odpovědi >= 400), jedná se o falešně pozitivní výsledek.

Power Pages nastavuje příznaky HTTPOnly/SameSite pro každý kritický soubor cookie. Existují některé nekritické soubory cookie, pro které není nastaven HTTPOnly/SameSite, a ty by neměly být považovány za ohrožení zabezpečení.

Další informace: Soubory cookie v Power Pages

Moje testovací zpráva pera hlásí konec životnosti / zastaralý software – Bootstrap 3. Co mám dělat?

Bootstrap 3 nemá žádné známé chyby zabezpečení; můžete však migrovat svůj web na Bootstrap 5.

Jaké šifry Power Pages podporuje? Jaký je plán průběžného směřování k silnějším šifrám?

Všechny služby a produkty společnosti Microsoft jsou nakonfigurovány tak, aby používaly schválené šifrovací sady v přesném pořadí, jak uvádí Microsoft Crypto Board.

Úplný seznam a přesné pořadí viz dokumentace Power Platform.

Informace o ukončení podpory šifrovacích sad budou oznámeny prostřednictvím dokumentace důležitých změn v Power Platform.

Proč Power Pages stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), které jsou považovány za slabší?

Microsoft při výběru podpory šifrovacích sad zvažuje relativní riziko a nepohodlí zákazníků. Šifrovací sady RSA-CBC ještě nebyly prolomeny. Umožnili jsme jim zajistit konzistenci napříč našimi službami a produkty a podporovat všechny konfigurace zákazníků, jsou však na konci seznamu priorit.

Podporu těchto šifer ukončíme na základě průběžného hodnocení Microsoft Crypto Board.

Další informace: Které šifrovací sady TLS 1.2 jsou podporovány v portálech Power Pages?

Jak Power Pages chrání před útoky typu DDoS (Distributed Denial of Service)?

Power Pages je postaven na Microsoft Azure a používá ochranu Azure DDoS a brání před útoky DDoS. Také zapnutí OOB / AFD třetí strany / WAF může přidat další ochranu na webu.

Další informace:

Testovací zpráva My Pen označuje zranitelnost v CKEditor. Jak mohu vyřešit tuto zranitelnost?

Ovládací prvek RTE PCF brzy nahradí CKEditor. Pokud chcete tento problém vyřešit před uvedením ovládacího prvku RTE PCF, deaktivujte CKEditor konfigurací nastavení webu DisableCkEditorBundle = true. Jakmile je CKEditor deaktivován, nahradí ho textové pole.

Jak ochráním svůj web před XSS útoky?

Před vykreslením dat z nedůvěryhodného zdroje doporučujeme provést kódování HTML.

Více informací: Dostupné filtry kódování.

Jak ochráním svůj web před útoky vložením kódu?

Ve výchozím nastavení je u formulářů Power Pages zapnutá funkce ověření požadavku ASP.Net, aby se zabránilo útokům vkládání skriptů. Pokud vytváříte svůj vlastní formulář pomocí rozhraní API, Power Pages zahrnuje několik opatření, která zabrání útokům vkládání kódu.

  • Zajistěte správnou dezinfekci HTML při zpracování uživatelského vstupu z formuláře nebo jakéhokoli ovládacího prvku dat, který využívá webové rozhraní API.
  • Implementujte vstupní a výstupní sanitaci pro všechna vstupní a výstupní data před jejich vykreslením na stránce. To zahrnuje data načítaná přes liquid/WebAPI nebo vložená/aktualizovaná do Dataverse prostřednictvím těchto kanálů.
  • Pokud jsou nutné speciální kontroly před vložením nebo aktualizací dat formuláře, můžete napsat pluginy, které se spouštějí pro ověření dat na straně serveru.

Další informace: Dokument white paper zabezpečení Power Pages.