Το Clickjacking χρησιμοποιεί ενσωματωμένα iFrames, μεταξύ άλλων στοιχείων, για την καταγραφή των αλληλεπιδράσεων ενός χρήστη με μια ιστοσελίδα.
Το Power Pages παρέχει τις ρυθμίσεις τοποθεσίας HTTP/X-Frame-Options με προεπιλεγμένο SAMEGIN για προστασία από τις επίθεσης clickjacking.
Περισσότερες πληροφορίες: Ρύθμιση κεφαλίδων HTTP στο Power Pages
Το Power Pages υποστηρίζει Πολιτική ασφάλειας περιεχομένου (CSP). Εκτεταμένες δοκιμές συνιστώνται μετά την ενεργοποίηση του CSP σε τοποθεσίες web του Power Pages.
Περισσότερες πληροφορίες: Διαχείριση πολιτικής ασφαλείας περιεχομένου της τοποθεσίας σας
Από προεπιλογή, το Power Pages υποστηρίζει HTTP σε HTTPS ανακατευθύνσεις. Εάν έχει γίνει προσθήκη σήμανσης, επιβεβαιώστε αν το αίτημα μπλοκάρεται σε επίπεδο App Service. Εάν δεν είναι επιτυχής αίτηση (κωδικός απόκρισης >= 400), αυτό είναι ψευδές θετικό αποτέλεσμα.
Γιατί τα cookies χωρίς τη σήμανση HTTPOnly/SameSite εντοπίζονται/αναφέρονται από τα δοκιμαστικά εργαλεία της υπηρεσίας;
Το Power Pages ορίζει επισημάνσεις HTTPOnly/SameSite για κάθε κρίσιμο cookie. Υπάρχουν ορισμένα μη κρίσιμα cookies για τα οποία δεν έχει οριστεί το HTTPOnly/SameSite και αυτά δεν θα πρέπει να θεωρούνται ευάλωτα.
Περισσότερες πληροφορίες: Cookies στο Power Pages
Η δοκιμαστική αναφορά My Pen είναι στο τέλος του κύκλου ζωής/Ξεπερασμένο λογισμικό – Bootstrap 3. Τι πρέπει να κάνω;
Δεν υπάρχουν γνωστά σημεία ευπάθειας στο Bootstrap 3. Ωστόσο, μπορείτε να μετεγκαταστήσετε την τοποθεσία σας στο Bootstrap 5.
Ποιες κρυπτογραφήσεις υποστηρίζει το Power Pages; Ποιος είναι ο οδικός χάρτης της συνεχούς μετακίνησης προς ισχυρή κρυπτογράφηση;
Όλες οι υπηρεσίες και τα προϊόντα της Microsoft έχουν ρυθμιστεί ώστε να χρησιμοποιούν τις εγκεκριμένες οικογένειες προγραμμάτων κρυπτογράφησης, με την ακριβή σειρά που αναφέρεται στον Πίνακα Κρυπτογράφησης της Microsoft.
Για την πλήρη λίστα και την ακριβή παραγγελία, ανατρέξτε στην τεκμηρίωση Power Platform.
Οι πληροφορίες που σχετίζονται με τις αποσύρσεις οικογενειών προγραμμάτων κρυπτογράφησης θα κοινοποιούνται μέσω της τεκμηρίωσης σημαντικών αλλαγών του Power Platform.
Γιατί εξακολουθεί το Power Pages να υποστηρίζει τις κρυπτογταφήσεις RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) και TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) που θεωρούνται πιο αδύναμες;
Η Microsoft ζυγίζει το σχετικό κίνδυνο και την ενόχληση των πελατών κατά την επιλογή της υποστήριξης των οικογενειών προγραμμάτων κρυπτογράφησης. Οι οικογένειες προγραμματάτων κρυπτογράφησης RSA-CBC δεν έχουν διακοπεί ακόμα. Τις έχουμε ενεργοποιήσει για να διασφαλίσουμε τη συνέπεια στις υπηρεσίες και τα προϊόντα μας και να υποστηρίξουμε όλες τις ρυθμίσεις παραμέτρων των πελατών. Ωστόσο, βρίσκονται στο τέλος της λίστας προτεραιοτήτων.
Θα αποσύρουμε κρυπτογραφήσεις με βάση τη συνεχή αξιολόγηση του πίνακα κρυπτογράφησης της Microsoft.
Περισσότερες πληροφορίες: Ποιες οικογένειες προγραμμάτων κρυπτογράφησης TLS 1.2 υποστηρίζονται από το Power Pages;
Το Power Pages είναι ενσωματωμένο στο Microsoft Azure και χρησιμοποιεί Προστασία Azure DDoS για την προστασία από επιθέσεις DDoS. Επίσης, η ενεργοποίηση του OOB/AFD τρίτου μέρους/WAF μπορεί να προσθέσει περισσότερη προστασία στην τοποθεσία.
Περισσότερες πληροφορίες:
Η δοκιμαστική αναφορά My Pen έχει ως θέμα ευπάθειας το CKEditor. Πώς μπορώ να μειώσω αυτήν την ευπάθεια;
Το στοιχείο ελέγχου RTE PCF αντικαθιστά σύντομα το CKEditor. Εάν θέλετε να μετριάσετε αυτό το ζήτημα πριν από την έκδοση του στοιχείου ελέγχου RTE PCF, απενεργοποιήστε το CKEditor ρυθμίζοντας τη ρύθμιση τοποθεσίας DisableCkEditorBitorle = true. Ένα πεδίο κειμένου αντικαθιστά το CKEditor μόλις απενεργοποιηθεί.
Συνιστάται η εκτέλεση κωδικοποίησης HTML πριν την απόδοση δεδομένων από μια αναξιόπιστη προέλευση.
Περισσότερες πληροφορίες: Διαθέσιμα φίλτρα κωδικοποίησης.
Από προεπιλογή, η δυνατότητα αίτηση επικύρωσης ASP.Net είναι ενεργοποιημένη σε φόρμες του Power Pages για την αποτροπή επιθέσεων με παρεμβολή σκριπτ. Εάν δημιουργείτε τη δική σας φόρμα χρησιμοποιώντας το API, το Power Pages ενσωματώνει διάφορα μέτρα για την αποτροπή επιθέσεων με παρεμβολή.
- Διασφαλίστε τη σωστή εξυγίανση του HTML κατά τον χειρισμό στοιχείων εισόδου χρήστη από μια φόρμα ή οποιοδήποτε στοιχείο ελέγχου δεδομένων που χρησιμοποιεί το Web API.
- Εφαρμόστε εξυγίανση στοιχείων εισόδου και εξόδου για όλα τα δεδομένα εισόδου και εξόδου πριν τα αποδώσετε στη σελίδα. Αυτό περιλαμβάνει δεδομένα που λαμβάνονται μέσω liquid/WebAPI ή εισάγονται/ενημερώνονται στο Dataverse μέσω αυτών των καναλιών.
- Εάν απαιτούνται ειδικοί έλεγχοι πριν από την εισαγωγή ή την ενημέρωση δεδομένων φόρμας, μπορείτε να γράψετε προσθήκες που εκτελούνται για την επικύρωση δεδομένων από την πλευρά του διακομιστή.
Περισσότερες πληροφορίες: Λευκή βίβλος ασφάλειας Power Pages.