Clickjacking bruger integrerede iFrames eller andre komponenter til at kapre en brugers interaktioner med en webside.
Power Pages indeholder webstedsindstillinger for HTTP/X-Frame-Options med SAMEORIGIN som standard for at beskytte mod clickjacking-angreb.
Flere oplysninger: Konfigurere HTTP-overskrifter i Power Pages
Power Pages understøtter sikkerhedspolitik for indhold (CSP). Omfattende test anbefales, når CSP er aktiveret på Power Pages-websteder.
Flere oplysninger: Administrere webstedets sikkerhedspolitik for indhold
Power Pages understøtter som standard HTTP til HTTPS-omdirigeringer. Hvis markeret, kontrolleres det, om anmodning bliver blokeret på apptjenesteniveau. Hvis anmodningen ikke lykkes (svarkode >= 400), er det en falsk positiv.
Power Pages angiver HTTPOnly/SameSite-flag for alle vigtige cookies. Der findes nogle ikke-kritiske cookies, som HTTPOnly/SameSite ikke er indstillet til, og de skal ikke opfattes som en sårbarhed.
Flere oplysninger: Cookies i Power Pages
Der er ingen kendte sikkerhedsrisici i Bootstrap 3. Du kan dog overføre webstedet til Bootstrap 5.
Hvilke krypteringsmetoder understøttes af Power Pages? Hvad er planen for hele tiden at bevæge sig mod stærkere kryptering?
Alle Microsoft-tjenester og -produkter er konfigureret til at bruge de godkendte krypteringspakker i nøjagtigt den rækkefølge, som bestemmes af Microsoft Crypto Board.
Du kan se hele listen og den nøjagtige rækkefølge i Power Platform-dokumentationen.
Oplysninger om udfasning af krypteringspakker formidles via Power Platform-dokumentationen Vigtige ændringer.
Hvorfor understøtter Power Pages stadig RSA-CBC-krypteringsmetoder (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) og TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), der opfattes som svagere?
Microsoft lægger vægt på den relative risiko og kundernes driftsforstyrrelser, når vi vælger understøttelse af krypteringspakker. RSA-CBC-krypteringspakkerne er endnu ikke blevet brudt. Vi har aktiveret dem for at sikre ensartethed på tværs af vores tjenester og produkter og til at understøtte alle kundekonfigurationer. Men de er nederst på prioritetslisten.
Krypteringer udfases ud fra løbende evalueringer hos Microsoft Crypto Board.
Flere oplysninger: Hvilke TLS 1.2-kodepakker understøttes af Power Pages?
Power Pages bygger på Microsoft Azure og bruger Azure DDoS Protection til at beskytte mod DDoS-angreb. Hvis du aktiverer OOB/Tredjeparts AFD/WAF, kan du tilføje mere beskyttelse på webstedet.
Flere oplysninger:
RTE PCF-kontrolelement erstatter snart CKEditor. Hvis du vil afhjælpe dette problem, før RTE PCF-objektet frigives, skal du deaktivere CKEditor ved at konfigurere webstedsindstillingen DisableCkEditorBundle = true. Et tekstfelt erstatter CKEditor, når det er deaktiveret.
Vi anbefaler, at du udfører HTML-kodning før gengivelse af data fra en kilde, der ikke er tillid til.
Flere oplysninger: Tilgængelige kodningsfiltre.
Som standard er funktionen ASP.Net anmodningsvalidering aktiveret på Power Pages formularer for at forhindre script-injection angreb. Hvis du opretter din egen formular ved hjælp af API'en, inkorporerer Power Pages flere foranstaltninger til at forhindre injektionsangreb.
- Sørg for korrekt HTML-sanering, når du håndterer brugerinput fra en formular eller enhver datakontrol, der bruger Web API.
- Implementer input- og output-sanering for alle input- og outputdata, før de gengives på siden. Dette inkluderer data hentet via væske/WebAPI eller indsat/opdateret i Dataverse gennem disse kanaler.
- Hvis der er behov for særlige kontroller før indsættelse eller opdatering af formulardata, kan du skrive plugins, der udføres for at validere data på serversiden.
Flere oplysninger: Power Pages-sikkerheds-whitepaper.