Oharra
Orrialde honetara sartzeak baimena behar du. Saioa hasteko edo direktorioak aldatzen saia zaitezke.
Orrialde honetara sartzeak baimena behar du. Direktorioak aldatzen saia zaitezke.
[Aurre-argitaratutako dokumentazioaren parte da artikulu hau, eta baliteke aldaketak jasatea.]
Segurtasun laneko areak zure webgunearen edukia eta datuak segurtasun mehatxuetatik gehiago babesteko aukera ematen dizu, zuzenean Power Pages diseinu estudiotik. Erabili ezarpen aurreratuak zure guneko HTTP goiburuak azkar eta eraginkortasunez konfiguratzeko, Edukiaren Segurtasun Politika (CSP), Jatorri Anitzeko Baliabideen Partekatzea (CORS), cookieak, baimenak eta gehiago konfiguratzeko.
Garrantzitsua da
- Hau aurreikuspen-eginbidea da.
- Aurreargitalpen-eginbideak ez daude ekoizpenerako diseinatuta, eta baliteke funtzionalitate murriztua izatea. Ezaugarri hauek erabilera-baldintza osagarrien menpe daude, eta kaleratze ofiziala baino lehen daude eskuragarri, bezeroek sarbide goiztiarra izan dezaten eta iritzia eman dezaten. ...
- Hasi saioa Power Pages-n eta ireki zure gunea editatzeko.
- Hautatu Segurtasun Lan-eremua ezkerreko nabigaziotik, eta ondoren, aukeratu Ezarpen aurreratuak (aurrebista).
Konfiguratu Edukiaren Segurtasun Politika (CSP)
Edukiaren Segurtasun Politika (CSP) web zerbitzariek erabiltzen dute web orrialde bati segurtasun arau multzo bat ezartzeko. Gutunak segurtasun eraso mota desberdinetatik babesten laguntzen du, hala nola cross-site scripting (XSS), datuen injekzioa eta kode injekzioko beste eraso batzuk.
Zuzentarauak
Jarraibide hauek onartzen dira.
| Zuzentaraua | Azalpena |
|---|---|
| Iturburu lehenetsia | Beste zuzentarau batzuek esplizituki definitzen ez duten edukien iturburu lehenetsia zehazten du. Beste zuzentarau batzuen ordezko gisa jokatzen du. |
| Irudien iturburua | Irudien baliozko iturburuak zehazten ditu, eta irudiak kargatu daitezkeen domeinuak kontrolatzen ditu. |
| Letra-tipoen iturburua | Letra-tipoen iturri baliodunak zehazten ditu. Web letra-tipoak kargatu daitezkeen domeinuak kontrolatzeko erabiltzen da. |
| Scriptaren iturburua | JavaScript kodearen iturburu baliodunak zehazten ditu. Script iturburuak jatorri bereko domeinu espezifikoak eta 'self' izan ditzake. Aukeratu nonce gaitu edo injektatu ez-segurua ebalua. |
| Estilo-iturburua | Estilo-orrietarako iturri baliodunak zehazten ditu. Script-src-en antzekoa, domeinuak eta 'self' izan ditzake. |
| Konektatu iturburua | XMLHttpRequest, WebSocket edo EventSource-ren iturburu baliodunak zehazten ditu. Orrialdeak sareko eskaerak egin ditzakeen domeinuak kontrolatzen ditu. |
| Multimedia-elementuen iturburua | Audio eta bideorako iturri baliodunak zehazten ditu. Multimedia baliabideak kargatu daitezkeen domeinuak kontrolatzeko erabiltzen da. |
| Markoaren iturburua | Markoentzako iturri baliodunak zehazten ditu. Orrialdeak markoak txerta ditzakeen domeinuak kontrolatzen ditu. |
| Markoaren arbasoak | Uneko orrialdea marko gisa txerta dezaketen iturri baliodunak zehazten ditu. Orria txertatzeko baimena duten domeinuak kontrolatzen ditu. |
| Ekintza formularioa | Inprimakiak bidaltzeko iturri baliodunak zehazten ditu. Datuak formularioan bidal daitezkeen domeinuak definitzen ditu. |
| Objektuaren iturburua | Objektu-elementuaren baliabideen iturri baliodunak zehazten ditu, hala nola Flash fitxategiak edo beste objektu txertatu batzuk. Objektu hauek zein jatorritatik kargatu daitezkeen kontrolatzen laguntzen du. |
| Langilearen iturburua | Web langileentzako iturri baliodunak zehazten ditu, langile dedikatuak, langile partekatuak eta zerbitzu langileak barne. Langile-script hauek zein jatorritatik kargatu eta exekutatu daitezkeen kontrolatzen laguntzen du. |
| Manifestuaren iturburua | Web langileentzako iturri baliodunak zehazten ditu, langile dedikatuak, langile partekatuak eta zerbitzu langileak barne. Langile-script hauek zein jatorritatik kargatu eta exekutatu daitezkeen kontrolatzen laguntzen du. |
| Bigarren mailako iturburua | Web langileentzako iturri baliodunak zehazten ditu, langile dedikatuak, langile partekatuak eta zerbitzu langileak barne. Langile-script hauek zein jatorritatik kargatu eta exekutatu daitezkeen kontrolatzen laguntzen du. |
Zuzentarau bakoitzerako, URL espezifikoa, domeinu guztiak edo bat ere ez aukeratu dezakezu.
Konfigurazio aurreraturako, joan Zure gunearen Edukiaren Segurtasun Politika kudeatu: Ezarri zure gunearen CSP.
Konfiguratu Jatorri Anitzeko Baliabideen Partekatzea (CORS)
Jatorri gurutzatuko baliabideen partekatzea (CORS) web arakatzaileek erabiltzen dute domeinu batean exekutatzen diren web aplikazioei beste domeinu bateko baliabideak eskatzeko eta atzitzeko aukera emateko edo mugatzeko.
Zuzentarauak
Jarraibide hauek onartzen dira.
| Zuzentaraua | Azalpena | Balioak |
|---|---|---|
| Baimendu zerbitzariko baliabideak atzitzea | Jatorri-baimenerako sarbidea bezala ere ezagutzen dena, zerbitzariari zein jatorrik duen bere baliabideetarako sarbidea erabakitzen laguntzen dio. Jatorriak domeinuak, protokoloak eta portuak izan daitezke. | Aukeratu domeinuaren URLak |
| Bidali goiburuak zerbitzari-eskaeretan zehar | Access-Control-Allow-Headers gisa ere ezaguna, zerbitzariko baliabideak atzitzeko beste jatorri bateko eskaeretan bidal daitezkeen goiburuak definitzen laguntzen du. | Aukeratu goiburu espezifikoak baimen hauekin Jatorria Onartu Baimena Edukia – idatzi |
| Bistaratu goiburuko balioak bezeroaren aldeko kodean | Access-Control-Expose-Headers izenez ere ezaguna, direktiba honek arakatzaileari zein erantzun goiburu erakutsi eta bezeroaren aldeko kode eskatzailearentzat eskuragarri jarri behar diren adierazten dio jatorri gurutzatuko eskaeretan. | Aukeratu goiburu espezifikoak baimen hauekin Jatorria Onartu Baimena Edukia – idatzi |
| Definitu baliabideak atzitzeko metodoak | Sarbide-Kontrol-Baimen-Metodoak bezala ere ezaguna, zein HTTP metodo diren baimenduta definitzen laguntzen du, jatorri desberdin batetik zerbitzari bateko baliabideetara sartzean. | GET - Datuak eskatzen ditu baliabide zehatz batetik POST - Datuak bidaltzen ditu prozesatzeko baliabide zehatz batera PUT - Baliabide bat eguneratzen edo ordezkatzen du URL zehatz batean HEAD - GET bezala, baina goiburuak bakarrik berreskuratzen ditu, ez benetako edukia PATCH - Baliabide bat partzialki aldatzen du OPTIONS - Baliabide edo zerbitzari baterako eskuragarri dauden komunikazio aukeren inguruko informazioa eskatzen du DELETE - Zehaztutako baliabidea ezabatzen du |
| Zehaztu eskaeraren emaitzak cachean gorde beharreko denbora | Access-Control-Max-Age gisa ere ezaguna, arakatzaileak bidalketaren aurreko eskaeraren emaitzak cachean gorde ditzakeen denbora zehazten laguntzen du. | Zehaztu iraupena denboratan (segundotan) |
| Baimendu guneari kredentzialak partekatzea | Access-Control-Allow-Credentials gisa ere ezaguna, guneak jatorrien arteko eskaeretan kredentzialak (adibidez, cookieak, baimen-goiburuak edo bezeroaren aldeko SSL ziurtagiriak) parteka ditzakeen ala ez definitzen laguntzen du. | Bai / ez |
| Bistaratu webgunea jatorri bereko iFrame gisa | X-Frame-Options gisa ere ezaguna, orria iframe batean bistaratzeko aukera ematen du, baldin eta eskaera jatorri beretik badator. | Bai / ez |
| Blokeatu MIME mota-hautematea | "X-Content-Type-Options: no-sniff" gisa ere ezaguna, web-arakatzaileei MIME mota (eduki mota) hautematea eragozten die, edo baliabide baten eduki mota asmatzea. | Bai / ez |
Konfiguratu cookieak (CSP)
HTTP eskaera bateko Cookie goiburuak webgune batek zure arakatzailean aurretik gordetako cookiei buruzko informazioa dauka. Webgune bat bisitatzen duzunean, zure nabigatzaileak Cookie goiburu bat bidaltzen dio zerbitzariari, gune horrekin lotutako cookie guztiak dituena.
Zuzentarauak
Jarraibide hauek onartzen dira.
| Zuzentaraua | Azalpena | Goiburua |
|---|---|---|
| Cookie guztien transferentzia-arauak | Kontrolatu jatorri gurutzatuko eskaerekin cookieak nola bidaltzen diren. Segurtasun-ezaugarri bat da, gune arteko eskaera faltsutze (CSRF) eta informazio-ihes eraso mota batzuk arintzeko helburuarekin. | Ezarpen hau SameSite/Default goiburuari dagokio. |
| Cookie jakinen transferentzia-arauak | Kontrolatu jatorri gurutzatuko eskaerekin cookieak nola bidaltzen diren. Segurtasun-ezaugarri bat da, gune arteko eskaera faltsutze (CSRF) eta informazio-ihes eraso mota batzuk arintzeko helburuarekin. | Ezarpen hau SameSite/Specific cookie goiburuari dagokio. |
Konfiguratu Baimen-Politika (CSP)
Permissions-Policy goiburuak web garatzaileei web orrialde batean zein web plataformako funtzio dauden baimenduta edo ukatuta kontrolatzeko aukera ematen die.
Zuzentarauak
Hurrengo zuzentarauak onartzen dira eta dagokien APIetarako sarbidea kontrolatzen dute.
- Accelerometer
- Ambient-Light-Sensor
- Erreprodukzio automatikoa
- Battery
- Kamera
- Bistaratu
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geo-kokapena
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofonoa
- Midi
- Otp-Credentials
- Ordainketa
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfiguratu HTTP goiburu gehiago
HTTPS bidezko konexio segurua baimendu
HTTP Strict-Transport-Security goiburuari dagokion ezarpenak arakatzaileari jakinarazten dio webgunera HTTPS bidez bakarrik konektatu behar dela, erabiltzaileak " sartzen badu ere"http:// " helbide-barran. Zerbitzariarekin komunikazio guztia enkriptatuta dagoela ziurtatuz eta eraso mota batzuen aurka babesten du, hala nola protokoloaren beheranzko erasoen eta cookie bahiketaren aurka.
Oharra
Segurtasun arrazoiengatik, ezin da ezarpen hau aldatu.
Sartu erreferentziaren informazioa HTTP goiburuetan
Referrer-Policy HTTP goiburuak eskaeraren jatorriari buruzko informazio kopurua (erreferentziazko informazioa) HTTP goiburuetan jakinarazten duen kontrolatzen du erabiltzaile bat orrialde batetik bestera nabigatzen duenean. Goiburu honek erreferentzia-informazioari lotutako pribatutasun eta segurtasun alderdiak kontrolatzen laguntzen du.
| Balioa | Azalpena |
|---|---|
| Ez dago erreferentzia-egilerik | Erreferentziarik ez izateak esan nahi du ez dela erreferentzialari buruzko informaziorik bidaltzen goiburuetan. Ezarpen hau da pribatutasun-aukerarik kontzienteena. |
| Maiaz jaistean ez dago erreferentzia-egilerik | HTTPS batetik HTTP gune batera nabigatzean erreferentzia-informazio osoa bidaltzen du, baina HTTPS guneen artean nabigatzean jatorria bakarrik bidaltzen du (biderik edo kontsultarik gabe). |
| Jatorri bera - Erreferentzia-politika | Jatorri berekoak erreferentzia-informazio osoa bidaltzen du eskaera jatorri berera doanean bakarrik. Jatorri gurutzatuko eskaeretan, jatorria bakarrik bidaltzen da. |
| Jatorria | Jatorriak erreferentearen jatorria bidaltzen du, baina ez bide edo kontsultaren informaziorik, bai jatorri bereko bai jatorri gurutzatuko eskaeretan. |
| Jatorri zorrotza | Jatorriaren antzekoa, baina jatorri bereko eskaeren erreferentzia-egileari buruzko informazioa soilik bidaltzen du. |
| Jatorrien arteko aukeraren jatorria | Jatorriaren antzekoa, baina jatorri bereko eskaeren erreferentzia-egileari buruzko informazioa soilik bidaltzen du. |