Tutorial: Hinzufügen von Sicherheitsheadern mit Regel-Engines
Wichtig
Azure Front Door (klassisch) wird am 31. März 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre (klassischen) Azure Front Door-Profile bis März 2027 zur Dienstebene Azure Front Door Standard oder Premium migrieren. Weitere Informationen finden Sie unter Einstellung von Azure Front Door (klassisch).
In diesem Tutorial wird gezeigt, wie Sie Sicherheitsheader implementieren, um browserbasierte Sicherheitsrisiken zu vermeiden, z. B. HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy oder X-Frame-Options. Sicherheitsbasierte Attribute können auch mit Cookies definiert werden.
Das folgende Beispiel zeigt Ihnen, wie Sie einen Content-Security-Policy-Header zu allen eingehenden Anforderungen hinzufügen, die dem Pfad entsprechen, der in der Route definiert ist, mit der Ihre Regelmodulkonfiguration verknüpft ist. Hier wird in unseren Anwendungen nur die Ausführung von Skripts von unserer vertrauenswürdigen Website https://apiphany.portal.azure-api.net zugelassen.
In diesem Tutorial lernen Sie Folgendes:
- Konfigurieren einer Inhaltssicherheitsrichtlinie (Content-Security-Policy) im Regelmodul
Voraussetzungen
- Ein Azure-Abonnement.
- Eine Azure Front Door-Instanz. Um die Schritte in diesem Tutorial auszuführen, müssen Sie über eine mit dem Regelmodul konfigurierte Azure Front Door-Instanz verfügen. Weitere Informationen finden Sie in der Schnellstart: Erstellen einer Azure Front Door-Instanz und Konfigurieren des Regelmoduls.
Hinzufügen eines Content-Security-Policy-Headers im Azure-Portal
Wählen Sie in Ihrer Azure Front Door-Ressource Konfiguration des Regelmoduls unter Einstellungen und dann das Regelmodul aus, dem Sie den Sicherheitsheader hinzufügen möchten.
Klicken Sie auf Regel hinzufügen, um einen neue Regel hinzuzufügen. Geben Sie der Regel einen Namen, und wählen Sie dann Aktion hinzufügen>Antwortheader aus.
Legen Sie den Operator auf Append fest, damit dieser Header als Antwort auf alle unter dieser Route eingehenden Anforderungen hinzugefügt wird.
Fügen Sie den Headernamen Content-Security-Policy hinzu, und definieren Sie die Werte, die dieser Header akzeptieren soll. Wählen Sie anschließend Speichern aus. In diesem Szenario wählen wir
script-src 'self' https://apiphany.portal.azure-api.net
aus.Hinweis
Kopfzeilenwerte sind auf 640 Zeichen beschränkt.
Nachdem Sie das Hinzufügen der Regeln zu Ihrer Konfiguration abgeschlossen haben, müssen Sie die Konfiguration des Regelmoduls der Route-Regel der ausgewählten Route zuordnen. Dieser Schritt ist erforderlich, damit die Regel funktioniert.
Hinweis
In diesem Szenario haben wir der Regel keine Übereinstimmungsbedingungen hinzugefügt. Für alle eingehenden Anforderungen, die dem in der Routenregel definierten Pfad entsprechen, wird diese Regel angewendet. Wenn Sie die Regel nur auf eine Teilmenge dieser Anforderungen anwenden möchten, fügen Sie dieser Regel unbedingt Ihre spezifischen Übereinstimmungsbedingungen hinzu.
Bereinigen von Ressourcen
In den vorherigen Schritten haben Sie Sicherheitsheader mit dem Regelmodul von Azure Front Door konfiguriert. Wenn die Regel nicht mehr verwendet werden soll, können Sie sie entfernen, indem Sie im Regelmodul die Option Regel löschen auswählen.
Nächste Schritte
Im nächsten Tutorial erfahren Sie, wie Sie eine Web Application Firewall für Ihre Front Door-Instanz konfigurieren: