Die Inhaltssicherheitsrichtlinie verwalten
Hinweis
Ab 12. Oktober 2022 ist Power Apps-Portale Power Pages. Weitere Informationen: Microsoft Power Pages ist jetzt allgemein verfügbar (Blog)
Wir werden die in Kürze migrieren und die Dokumentation für Power Apps-Portale mit der Power Pages-Dokumentation zusammenführen.
Die Inhaltssicherheitsrichtlinie (CSP) ist eine zusätzliche Sicherheitsebene, die dabei hilft, einige Arten von Webangriffen, wie Datendiebstahl, Unkenntlichmachung von Websites oder die Verbreitung von Malware, zu erkennen und abzuwehren. Die CSP bietet einen umfangreichen Satz von Richtliniendirektiven, mit denen die Ressourcen gesteuert werden können, welche die Seite einer Website laden darf. Jede Direktive legt die Einschränkungen für einen bestimmten Ressourcentyp fest.
Wenn die CSP für eine Portalwebsite aktiviert ist, trägt sie zur Verbesserung der Sicherheit bei, indem Verbindungen, Skripte, Schriftarten und andere Arten von Ressourcen blockiert werden, die aus unbekannten oder böswilligen Quellen stammen. Die CSP ist in Portalen standardmäßig deaktiviert. Viele Websites erfordern jedoch möglicherweise die CSP, damit andere Sicherheitsfunktionen verbessert werden.
Weitere Informationen über die CSP finden Sie unter Referenz zur Inhaltssicherheitsrichtlinie.
CSP konfigurieren
Melden Sie sich bei Power Apps an.
Stellen Sie sicher, dass Sie sich in der Umgebung befinden, in der Ihr Portal existiert.
Wählen Sie auf der linken Seite Apps aus und wählen Sie dann die Portalverwaltungs-App.
Wählen Sie im linken Bereich Websiteeinstellungen aus.
Erstellen (oder aktualisieren) Sie die Website-Einstellung HTTP/Content-Security-Policy und legen Sie die erforderlichen Werte aus der CSP-Referenz-Seite durch Semikolons getrennt fest.
Beispiel
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Nonce aktivieren
Das Aktivieren der Nonce (einmal verwendete Zahl) blockiert die Ausführung aller Inline-Skripte mit Ausnahme derjenigen, die im Inline-Skript angegeben sind. Eine eindeutige kryptografische Nonce wird generiert und jedem im CSP-Header angegebenen Skript hinzugefügt. In Portalen unterstützt Nonce nur Inline-Skripte und Inline-Ereignis-Handler. Weitere Informationen zur Nonce finden Sie unter Eine Nonce mit CSP verwenden.
Um die Nonce in Portalen zu aktivieren, fügen Sie den Wert script-src 'nonce'; den Website-Einstellungen HTTP/Content-Security-Policy hinzu.
Beispiele
Wenn Sie eine strenge Richtlinie haben möchten und das Laden von Skripten aus Quellen außerhalb von Portalen nicht zulassen möchten, verwenden Sie Folgendes:
script-src 'self' content.powerapps.com 'nonce'
Wenn Sie Skripte aus einer sicheren Quelle laden möchten, verwenden Sie Folgendes:
script-src https: 'nonce'
Hinweis
- Wenn Nonce aktiviert ist, wird unsafe-eval automatisch eingefügt, um die automatisch Bewertung von unserem Code zu unterstützen. Um die automatische Injektion von unsafe-eval zu deaktivieren, aktualisieren Sie die Website-Einstellung HTTP/Content-Security-Policy/Inject-unsafe-eval auf falsch.
- Wenn die unsafe-eval-Injektion deaktiviert ist, funktioniert die Validierung automatisch generierter Felder für Basis- oder erweiterte Formulare möglicherweise nicht mehr richtig.