Klõpsuründe puhul kasutatakse sisseehitatud iFrame'i või muid komponente, et kaaperdada kasutaja suhtlus veebilehega.
Power Pages pakub HTTP/X-Frame-Options saidi seadeid vaikimisi SAMEORIGIN, et kaitsta klikkimisrünnakute eest.
Lisateave: HTTP portaali päise seadistamine rakenduses Power Pages
Kas teenus Power Pages toetab sisuturbepoliitikat (CSP)? Teenuse Power Pages veebisaitidel on pärast CSP lubamist soovitatav põhjalikult testida.
Lisateave: Saidi sisuturbeeeskirjade haldamine
Vaikimisi Power Pages toetab HTTP-st HTTPS-i ümbersuunamisi. Lipuga märgistamise korral kontrollige, kas taotlus blokeeritakse rakenduse teenusetasemel. Kui see pole edukas taotlus (vastuse kood >= 400), on see valepositiivne.
Mille tõttu tuvastavad/raporteerivad pastakatesti tööriistade küpsised ilma HTTPOnly/SameSite märgistuseta?
Teenus Power Pages määrab HTTPOnly/SameSite märgistuse iga kriitilise küpsise jaoks. On mitmeid mittekriitilisi küpsiseid, mille puhul HTTPOnly/SameSite ei ole määratud, ja neid ei tohiks pidada haavatavuseks.
Lisateave: Teenuse Power Pages küpsised
Minu pliiatsi testiaruanne märgistab elu lõpu / vananenud tarkvara - Bootstrap 3. Mida ma peaksin selles suhtes ette võtma?
Bootstrap 3-l pole teadaolevaid haavatavusi; siiski saate oma saidi üle viia Bootstrap 5-sse.
Milliseid šifreid teenus Power Pages toetab? Milline on teekaart pidevaks liikumiseks tugevamate šifrite poole?
Kõik Microsofti teenused ja tooted on konfigureeritud kasutama heakskiidetud šifrikomplekte täpselt sellises järjestuses, mille on määranud Microsoft Crypto Board.
Täieliku loendi ja täpse järjestuse leiate Power Platformi dokumentatsioonist.
Teave šifrikomplektide kasutuselt kõrvaldamise kohta edastatakse teenuse Power Platform dokumentatsiooni Tähtsad muudatused kaudu.
Miks toetab Power Pages ikka veel RSA-CBC šifreid (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ja TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), mida peetakse nõrgemaks?
Microsoft kaalub suhtelisi riske ja katkestusi klienditoimingutele šifrikomplektide toetusi valides. RSA-CBC šifrikomplekte ei ole veel murtud. Oleme võimaldanud neil tagada järjepidevuse kõikides meie teenustes ja toodetes ning toetada kõiki kliendi konfiguratsioone; siiski on nad prioriteetide loendis kõige madalamal kohal.
Microsoft Crypto Boardi pideva hinnangu alusel kaotame šifrite väärtuse.
Lisateave: Milliseid TLS 1.2 šifreerimiskomplekte teenus Power Pages toetab?
Teenus Power Pages põhineb rakendusel Microsoft Azure ja see kasutab Azure’i DDoS-kaitset, et kaitsta DDoS-rünnete eest. Samuti võib OOB/kolmanda osapoole AFD/WAF-i lubamine lisada saidile rohkem kaitset.
Lisateave:
RTE PCF juhtimine asendab peagi CKEditori. Kui soovite seda probleemi enne RTE PCF-juhtelemendi vabastamist leevendada, keelake CKEditor, konfigureerides saidi sätte DisableCkEditorBundle = true. CKEditor on välja lülitatud, kuid tekstiväli asendab selle.
Soovitame enne andmete renderdamist ebausaldusväärsest allikast teha HTML-kodeeringu.
Lisateave: Saadaolevad kodeerimisfiltrid.
Vaikimisi on ASP.Net taotluse valideerimise funktsioon vormidel Power Pages lubatud, et vältida skripti süstimise rünnakuid. Kui loote API abil oma vormi, Power Pages sisaldab see mitmeid meetmeid süstimisrünnakute vältimiseks.
- Tagage õige HTML-i desinfitseerimine, kui käsitlete kasutaja sisendit vormilt või mis tahes andmekontrollist, mis kasutab Web API-d.
- Enne lehel renderdamist rakendage kõigi sisend- ja väljundandmete sisendi ja väljundi desinfitseerimine. See hõlmab andmeid, mis on hangitud vedeliku / WebAPI kaudu või sisestatud / värskendatud Dataverse nende kanalite kaudu.
- Kui enne vormiandmete sisestamist või värskendamist on vaja spetsiaalseid kontrolle, saate kirjutada pluginaid, mis käivitavad serveri poolel olevate andmete valideerimiseks.
Lisateave: Power Pages turvalisuse valge raamat.