Configuración de encabezados de seguridad con el conjunto de reglas de Azure Front Door Estándar/Premium
En este artículo se indica cómo implementar encabezados de seguridad para evitar vulnerabilidades basadas en el explorador como HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy o X-Frame-Options. Los atributos basados en seguridad también se pueden definir con cookies.
En el ejemplo siguiente se muestra cómo agregar un encabezado Content-Security-Policy a todas las solicitudes entrantes que coinciden con la ruta de acceso definida en la ruta. En este caso, solo se permiten la ejecución de scripts de nuestro sitio de confianza, https://apiphany.portal.azure-api.net , en nuestra aplicación.
Prerrequisitos
- Antes de configurar los encabezados de seguridad, primero debe crear una puerta principal. Para más información, consulte Inicio rápido: Cree una instancia de Front Door.
- Revise cómo configurar un conjunto de reglas si no ha usado antes la característica Conjunto de reglas.
Adición de un encabezado Content-Security-Policy en Azure Portal
Vaya al perfil de Azure Front Door Estándar/Premium y seleccione Conjunto de reglas en Configuración.
Seleccione Agregar para agregar un nuevo conjunto de reglas. Asigne un nombre al conjunto de reglas y, a continuación, proporcione un nombre para la regla. Seleccione Agregar una acción y, a continuación, seleccione Encabezado de respuesta.
Establezca el operador en Anexar para agregar este encabezado como respuesta a todas las solicitudes entrantes para esta ruta.
Agregue el nombre del encabezado: Content-Security-Policy y defina los valores que debe aceptar este encabezado. En este escenario, hemos elegido "script-src 'self' https://apiphany.portal.azure-api.net".
Una vez que haya agregado todas las reglas que le gustaría a su configuración, no olvide asociar el conjunto de reglas con una ruta. Este paso es necesario para permitir que el conjunto de reglas tome medidas.
Nota
En este escenario, no hemos agregado condiciones de coincidencia a la regla. Esta regla se aplicará a todas las solicitudes entrantes que coincidan con la ruta de acceso definida en la ruta asociada. Si desea que solo se aplique a un subconjunto de esas solicitudes, asegúrese de agregar las condiciones de coincidencia específicas a esta regla.
Limpieza de recursos
Eliminación de una regla
En los pasos anteriores, configuró el encabezado Content-Security-Policy con un conjunto de reglas. Si ya no desea una regla, puede seleccionar el nombre del conjunto de reglas y, a continuación, seleccionar Eliminar regla.
Eliminación de un conjunto de reglas
Si desea eliminar un conjunto de reglas, asegúrese de que lo desasocia de todas las rutas antes de eliminarlo. Para obtener instrucciones detalladas sobre cómo eliminar un conjunto de reglas, consulte Configuración del conjunto de reglas.
Pasos siguientes
Para aprender a configurar un firewall de aplicaciones web para Front Door, consulte Firewall de aplicaciones web y Front Door.