Clickjacking verwendet eingebettete iFrames oder andere Komponenten, um die Interaktionen von Benutzenden mit einer Webseite zu kapern.
Power Pages bietet HTTP/X-Frame-Options-Siteeinstellungen mit standardmäßigem SAMEORIGIN zum Schutz vor Clickjacking-Angriffen.
Weitere Informationen: Einrichten des HTTP-Headers in Power Pages
Power Pages unterstützt die Richtlinie für Inhaltssicherheit (Content Security Policy, CSP). Nach der Aktivierung von CSP auf Power Pages-Websites werden umfangreiche Tests empfohlen.
Weitere Informationen: Richtlinie für Inhaltssicherheit Ihrer Website verwalten
Standardmäßig unterstützt Power Pages HTTP-zu-HTTPS-Weiterleitungen. Wenn dies markiert ist, überprüfen Sie, ob die Anforderung auf App-Servicelevel blockiert wird. Wenn es sich nicht um eine erfolgreiche Anforderung handelt (Antwortcode >= 400), handelt es sich um ein falsch positives Ergebnis.
Power Pages setzt HTTPOnly/SameSite-Markierungen für jedes kritische Cookie. Es gibt einige unkritische Cookies, für die HTTPOnly/SameSite nicht festgelegt ist, und diese sollten nicht als Sicherheitsrisiko betrachtet werden.
Weitere Informationen: Cookies in Power Pages
In meinem Pen-Testbericht wird „End-of-Life-/veraltete Software – Bootstrap 3“ angezeigt. Was soll ich dagegen tun?
Es gibt keine bekannten Schwachstellen bei Bootstrap 3, Sie können jedoch Ihre Website zu Bootstrap 5 migrieren.
Welche Verschlüsselungsverfahren unterstützt Power Pages? Wie sieht die Roadmap für eine kontinuierliche Entwicklung hin zu stärkeren Verschlüsselungsverfahren aus?
Alle Microsoft-Dienste und -Produkte sind so konfiguriert, dass sie die genehmigten Verschlüsselungssammlungen in der genauen Reihenfolge verwenden, die vom Microsoft Crypto Board vorgegeben ist.
Die vollständige Liste und die genaue Reihenfolge finden Sie in der Power Platform Dokumentation.
Informationen über veraltete Verschlüsselungssammlungen werden über die Dokumentation zu wichtigen Änderungen von Power Platform kommuniziert.
Warum unterstützt Power Pages immer noch RSA-CBC-Verschlüsselungsverfahren (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 [0xC027] und TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 [0xC028]), die als schwächer gelten?
Microsoft wägt das relative Risiko und die Störung der Vorgänge der Kunden bei der Auswahl von Verschlüsselungssammlungen ab, die unterstützt werden sollen. Die RSA-CBC-Verschlüsselungssammlungen wurden noch nicht geknackt. Wir haben sie aktiviert, um die Konsistenz unserer Dienste und Produkte sicherzustellen und alle Kundenkonfigurationen zu unterstützen. Sie stehen jedoch ganz unten auf der Prioritätsliste.
Wir lassen Verschlüsselungssammlungen auf Grundlage der kontinuierlichen Überprüfung des Microsoft Crypto Board veralten.
Weitere Informationen: Welche TLS 1.2-Verschlüsselungssammlungen werden von Power Pages-Portalen unterstützt?
Power Pages ist auf Microsoft Azure aufgebaut und verwendet Azure DDoS Protection zum Schutz vor DDoS-Angriffen. Auch die Aktivierung von OOB/Drittanbieter-AFD/WAF kann der Website mehr Schutz bieten.
Weitere Informationen:
Mein Pen-Testbericht weist auf eine Sicherheitslücke in CKEditor hin. Wie kann ich dieses Sicherheitsrisiko mindern?
RTE-PCF-Steuerung ersetzt bald CKEditor. Wenn Sie dieses Problem vor der RTE-PCF-Steuerung beheben möchten, deaktivieren Sie CKEditor, indem Sie die Website-Einstellung „DisableCkEditorBundle = true“ konfigurieren. Ein Textfeld ersetzt CKEditor, sobald es deaktiviert ist.
Wir empfehlen, vor dem Rendern von Daten aus einer nicht vertrauenswürdigen Quelle eine HTML-Codierung durchzuführen.
Weitere Informationen: Verfügbare Codierungsfilter.
Standardmäßig ist die Funktion ASP.Net Anforderungsvalidierung in Power Pages-Formularen aktiviert, um Skript-Injektionsangriffe zu verhindern. Wenn Sie mithilfe der API Ihr eigenes Formular erstellen, beinhaltet Power Pages mehrere Maßnahmen zur Verhinderung von Injektionsangriffen.
- Stellen Sie eine ordnungsgemäße HTML-Bereinigung sicher, wenn Sie Benutzereingaben aus einem Formular oder einem Datensteuerelement verarbeiten, das die Web-API verwendet.
- Implementieren Sie die Eingabe- und Ausgabebereinigung für alle Eingabe- und Ausgabedaten, bevor Sie sie auf der Seite rendern. Dazu gehören Daten, die über Liquid/WebAPI abgerufen oder über diese Kanäle in Dataverse eingefügt/aktualisiert werden.
- Wenn vor dem Einfügen oder Aktualisieren von Formulardaten besondere Prüfungen erforderlich sind, können Sie Plug-Ins schreiben, die die Daten auf der Serverseite validieren.
Weitere Informationen: Power Pages-Sicherheits-Whitepaper.