Clickjacking používá mimo jiné vložené prvky iframe k únosu interakcí uživatele s webovou stránkou.
Power Pages poskytuje nastavení webu HTTP/X-Frame-Options s výchozím SAMEORIGIN pro ochranu před útoky typu clickjacking.
Další informace: Nastavení záhlaví HTTP v portálech Power Pages
Power Pages podporuje zásady zabezpečení obsahu (CSP). Po zapnutí CSP na webech Power Pages se doporučuje rozsáhlé testování.
Další informace: Správa zásad zabezpečení obsahu vašeho webu
Ve výchozím nastavení Power Pages podporuje přesměrování z HTTP na HTTPS. Pokud je označeno, ověřte, zda je požadavek blokován na úrovni App Service. Pokud se nejedná o úspěšný požadavek (kód odpovědi >= 400), jedná se o falešně pozitivní výsledek.
Proč jsou soubory cookie bez příznaků HTTPOnly/SameSite detekovány/nahlášeny nástroji pro testování perem?
Power Pages nastavuje příznaky HTTPOnly/SameSite pro každý kritický soubor cookie. Existují některé nekritické soubory cookie, pro které není nastaven HTTPOnly/SameSite, a ty by neměly být považovány za ohrožení zabezpečení.
Další informace: Soubory cookie v Power Pages
Bootstrap 3 nemá žádné známé chyby zabezpečení; můžete však migrovat svůj web na Bootstrap 5.
Všechny služby a produkty společnosti Microsoft jsou nakonfigurovány tak, aby používaly schválené šifrovací sady v přesném pořadí, jak uvádí Microsoft Crypto Board.
Úplný seznam a přesné pořadí viz dokumentace Power Platform.
Informace o ukončení podpory šifrovacích sad budou oznámeny prostřednictvím dokumentace důležitých změn v Power Platform.
Proč Power Pages stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), které jsou považovány za slabší?
Microsoft při výběru podpory šifrovacích sad zvažuje relativní riziko a nepohodlí zákazníků. Šifrovací sady RSA-CBC ještě nebyly prolomeny. Umožnili jsme jim zajistit konzistenci napříč našimi službami a produkty a podporovat všechny konfigurace zákazníků, jsou však na konci seznamu priorit.
Podporu těchto šifer ukončíme na základě průběžného hodnocení Microsoft Crypto Board.
Další informace: Které šifrovací sady TLS 1.2 jsou podporovány v portálech Power Pages?
Power Pages je postaven na Microsoft Azure a používá ochranu Azure DDoS a brání před útoky DDoS. Také zapnutí OOB / AFD třetí strany / WAF může přidat další ochranu na webu.
Další informace:
Ovládací prvek RTE PCF brzy nahradí CKEditor. Pokud chcete tento problém vyřešit před uvedením ovládacího prvku RTE PCF, deaktivujte CKEditor konfigurací nastavení webu DisableCkEditorBundle = true. Jakmile je CKEditor deaktivován, nahradí ho textové pole.
Před vykreslením dat z nedůvěryhodného zdroje doporučujeme provést kódování HTML.
Více informací: Dostupné filtry kódování.
Ve výchozím nastavení je u formulářů Power Pages zapnutá funkce ověření požadavku ASP.Net, aby se zabránilo útokům vkládání skriptů. Pokud vytváříte svůj vlastní formulář pomocí rozhraní API, Power Pages zahrnuje několik opatření, která zabrání útokům vkládání kódu.
- Zajistěte správnou dezinfekci HTML při zpracování uživatelského vstupu z formuláře nebo jakéhokoli ovládacího prvku dat, který využívá webové rozhraní API.
- Implementujte vstupní a výstupní sanitaci pro všechna vstupní a výstupní data před jejich vykreslením na stránce. To zahrnuje data načítaná přes liquid/WebAPI nebo vložená/aktualizovaná do Dataverse prostřednictvím těchto kanálů.
- Pokud jsou nutné speciální kontroly před vložením nebo aktualizací dat formuláře, můžete napsat pluginy, které se spouštějí pro ověření dat na straně serveru.
Další informace: Dokument white paper zabezpečení Power Pages.