Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
[See artikkel kuulub väljalaske-eelsete dokumentide hulka ja seda võidakse muuta.]
Security workspace võimaldab sul oma saidi sisu ja andmeid turvaohtude eest kaitsta otse Power Pages Design Studio'st. Täpsemate sätete abil saate kiiresti ja tõhusalt konfigureerida oma saidi HTTP-päiseid, konfigureerida sisuturbepoliitikat (CSP), päritoludevahelist ressursside jagamist (CORS), küpsiseid, õigusi ja palju muud.
Oluline
- See on eelvaate funktsioon.
- Eelversioonifunktsioonid ei ole mõeldud kasutamiseks tootmises ja nende funktsioonid võivad olla piiratud. Nendele funktsioonidele kehtivad täiendavad kasutustingimused ja need on saadaval enne ametlikku väljaandmist, et kliendid saaksid varajase juurdepääsu ja tagasisidet anda.
- Logige sisse Power Pages ja avage oma sait redigeerimiseks.
- Valige vasakpoolsel navigeerimispaanil Turvalisuse tööruum ja seejärel valige Täpsemad sätted (eelvaade).
Sisu turbepoliitika (CSP) konfigureerimine
Veebiserverid kasutavad sisuturbepoliitikat (CSP) veebilehe turvareeglite jõustamiseks. See aitab kaitsta saite erinevate turvarünnakute eest, nagu rist-saidi skriptimine (XSS), andmesüstimine ja muud koodi süstimise rünnakud.
Direktiivide
Toetatakse järgmisi direktiive.
| Direktiiv | Kirjeldus |
|---|---|
| Vaikeallikas | Määrab vaikimisi allika sisule, mida teised direktiivid otseselt ei määratle. See toimib teiste direktiivide varuna. |
| Tõmmise allikas | Määrab kehtivad allikad piltide jaoks ja kontrollib domeene, kust pilte saab laadida. |
| Fondiallikas | Määrab fontide jaoks kehtivad allikad. Kasutatakse domeenide juhtimiseks, kust saab veebifonte laadida. |
| Skripti allikas | Määrab JavaScripti koodi jaoks sobivad allikad. Skripti allikas võib sisaldada konkreetseid domeene ja 'mina' sama päritolu kohta. Vali, kas lubada nonce või süstida ohtlik hindamine. |
| Laadiallikas | Määrab laaditabelite jaoks kehtivad allikad. Sarnaselt script-src-le võib see sisaldada domeene ja 'mina'. |
| Connecti allikas | Määrab XMLHttpRequesti, WebSocketi või EventSource’i jaoks sobivad allikad. Kontrollib domeene, millele leht saab võrgupäringuid esitada. |
| Meediaallikas | Määrab heli ja video jaoks sobivad allikad. Kasutatakse domeenide juhtimiseks, kust saab meediumiressursse laadida. |
| Raamiallikas | Määrab kaadrite jaoks kehtivad allikad. Kontrollib domeene, millelt leht saab raame manustada. |
| Raami esivanemad | Määrab sobivad allikad, mis saavad praeguse lehe raamina manustada. Määrab, millistel domeenidel on lubatud lehte manustada. |
| Vormi toiming | Määrab vormi edastamiseks sobivad allikad. Määratleb domeenid, kuhu vormiandmeid saab saata. |
| Objektiallikas | Määrab objektielemendi ressursside (nt Flash-failid või muud manusobjektid) sobivad allikad. See aitab kontrollida, millisest päritolust neid objekte saab laadida. |
| Töötaja allikas | Määrab veebitöötajate, sh pühendunud töötajate, ühistöötajate ja teenindustöötajate jaoks kehtivad allikad. See aitab kontrollida, millisest päritolust neid tööskripte saab laadida ja käivitada. |
| Manifesti allikas | Määrab veebitöötajate, sh pühendunud töötajate, ühistöötajate ja teenindustöötajate jaoks kehtivad allikad. See aitab kontrollida, millisest päritolust neid tööskripte saab laadida ja käivitada. |
| Tütarallikas | Määrab veebitöötajate, sh pühendunud töötajate, ühistöötajate ja teenindustöötajate jaoks kehtivad allikad. See aitab kontrollida, millisest päritolust neid tööskripte saab laadida ja käivitada. |
Iga direktiivi jaoks saate valida konkreetse URL-i, kõik domeenid või mitte ühtegi.
Täpsema konfigureerimise jaoks minge jaotisse Saidi sisuturbepoliitika haldamine: saidi CSP määramine.
Päritoludevahelise ressursside ühiskasutuse (CORS) konfigureerimine
Veebibrauserid kasutavad päritoluülest ressursside jagamist (CORS), et lubada või piirata ühes domeenis töötavatel veebirakendustel teise domeeni ressursside taotlemist ja neile juurdepääsu.
Direktiivide
Toetatakse järgmisi direktiive.
| Direktiiv | Kirjeldus | Väärtused |
|---|---|---|
| Lubage ressurssidele juurdepääs serverist | Tuntud ka kui Access-Control-Allow-Origin, aitab serveril otsustada, millistel allikatel on lubatud tema ressurssidele juurde pääseda. Päritolud võivad olla domeenid, protokollid ja pordid. | Domeeni URL-ide valimine |
| Saatke päised serveritaotluste ajal | Tuntud ka kui Access-Control-Allow-Headers, aitab määratleda päised, mida saab saata teisest allikast pärit taotlustes, et pääseda juurde serveris olevatele ressurssidele. | Valige konkreetsed päised järgmiste õigustega Päritolu aktsepteerib autoriseerimist Sisu – tüüp |
| Avaldage päiseväärtused kliendipoolses koodis | See direktiiv, mida tuntakse ka kui Access-Control-Expose-Headers, juhendab brauserit, millises vastuse päis tuleks avaldada ja teha kättesaadavaks taotlevale kliendipoolsele koodile päritoluüleste päringute korral. | Valige konkreetsed päised järgmiste õigustega Päritolu aktsepteerib autoriseerimist Sisu – tüüp |
| Määratlege ressurssidele juurdepääsu meetodid | Tuntud ka kui Access-Control-Allow-Methods, aitab määratleda, millised HTTP-meetodid on lubatud erineva päritoluga serveri ressurssidele juurdepääsul. | GET - Taotleb andmeid määratud ressursilt POST - Esitab andmed töötlemiseks määratud ressursile PUT - Värskendab või asendab ressursi kindlal URL-il HEAD - Sama mis GET, kuid toob ainult päised, mitte tegeliku sisu PATCH - Muudab osaliselt ressurssi OPTIONS - Küsib teavet ressursi või serveri jaoks saadaolevate sidesuvandite kohta DELETE - Kustutab määratud ressursi |
| Määrake taotluse tulemuste vahemällu salvestamise kestus | Tuntud ka kui Access-Control-Max-Age, aitab määratleda kestuse, mille jooksul brauser saab eeltäidetud taotluse tulemused vahemällu salvestada. | Määrake kestus kordades (sekundites) |
| Lubage saidil identimisteavet jagada | Tuntud ka kui Access-Control-Allow-Credentials, aitab määratleda, kas sait võib päritoluüleste taotluste ajal jagada selliseid andmeid nagu küpsised, autoriseerimispäiseid või kliendipoolsed SSL-sertifikaadid. | Jah/ei |
| Kuva veebileht iFrame’iga samast päritolust | Tuntud ka kui X-Frame-Options, võimaldab lehe kuvada iFrame’is ainult juhul, kui taotlus tuleneb samast päritolust. | Jah/ei |
| Blokeeri MIME äratundmine | Tuntud ka kui X-Content-Type-Options: no-sniff, see aitab vältida veebibrauserite MIME-tüübi (sisutüübi) tuvastamist või ressursi sisutüübi äraarvamist. | Jah/ei |
Küpsiste konfigureerimine (CSP)
HTTP-päringu küpsise päis sisaldab teavet küpsiste kohta, mille veebisait on varem teie brauserisse salvestanud. Kui külastate veebisaiti, saadab teie brauser serverisse tagasi küpsise päise, mis sisaldab kõiki selle saidiga seotud asjakohaseid küpsiseid.
Direktiivide
Toetatakse järgmisi direktiive.
| Direktiiv | Kirjeldus | Päis |
|---|---|---|
| Kõigi küpsiste üleviimise reeglid | Kontrollige, kuidas küpsiseid saadetakse päritoluüleste päringutega. See on turvafunktsioon, mille eesmärk on leevendada teatud tüüpi saitidevahelisi päringute võltsimist (CSRF) ja teabelekke rünnakuid. | See säte vastab päisele SameSite/Default. |
| Konkreetsete küpsiste üleviimise reeglid | Kontrollige, kuidas küpsiseid saadetakse päritoluüleste päringutega. See on turvafunktsioon, mille eesmärk on leevendada teatud tüüpi saitidevahelisi päringute võltsimist (CSRF) ja teabelekke rünnakuid. | See säte vastab päisele SameSite/Specific cookie. |
Õiguste poliitika konfigureerimine (CSP)
Päis Permissions-Policy võimaldab veebiarendajatel kontrollida, millised veebiplatvormi funktsioonid on veebilehel lubatud või keelatud.
Direktiivide
Toetatud on järgmised direktiivid, mis reguleerivad juurdepääsu nende vastavatele API-dele.
- Accelerometer
- Ambient-Light-Sensor
- Automaatesitus
- Battery
- Kaamera
- Kuvamine
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geograafiline asukoht
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Makse
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Rohkemate HTTP-päiste konfigureerimine
Turvalise ühenduse lubamine HTTPS-i kaudu
HTTP Strict-Transport-Security päisele vastav säte teavitab brauserit, et see peaks veebisaidiga ühenduse looma ainult HTTPS-i kaudu, isegi kui kasutaja sisestab aadressiribale "http://". See aitab vältida vahendusrünnakuid, tagades, et kogu suhtlus serveriga on krüpteeritud, ja kaitseb teatud tüüpi rünnakute eest, nagu protokolli alandamise rünnakud ja küpsiste kaaperdamine.
Märkus.
Turvalisuse huvides ei saa seda sätet muuta.
Viitaja teabe kaasamine HTTP-päistesse
Referrer-Policy HTTP päis kontrollib, kui palju teavet päringu päritolu kohta (viitaja info) avaldatakse HTTP päistes, kui kasutaja liigub ühelt lehelt teisele. See päis aitab kontrollida viitaja teabega seotud privaatsus- ja turbeaspekte.
| Väärtus | Kirjeldus |
|---|---|
| Ühtegi viitajat pole | Viitaja puudumine tähendab, et päistes ei saadeta viitaja teavet. See seade on kõige privaatsusteadlikum valik. |
| Versiooni taandamise korral pole ühtegi viitajat | See saadab HTTPS-ist HTTP-saidile navigeerimisel täieliku viitaja teabe, kuid HTTPS-saitide vahel navigeerimisel ainult lähtekoha (ilma tee või päringuta). |
| Sama päritolu - viitaja-poliitika | Sama päritolu saadab viitaja täieliku teabe ainult siis, kui taotlus on samale päritolule. Ristpäritolu taotluste puhul saadetakse ainult päritolu. |
| Päritolu | Päritolu saadab viitaja päritolu, kuid ei tee ega päringu teavet nii sama päritolu kui ka ristpäritolu päringute puhul. |
| Range päritolu | Sarnane päritoluga, kuid saadab viitaja teabe ainult sama päritoluga taotluste puhul. |
| Päritolu päritoluülesuse korral | Sarnane päritoluga, kuid saadab viitaja teabe ainult sama päritoluga taotluste puhul. |