Jaa

Sisällön suojauskäytännön hallinta

  • Artikkeli

Huomautus

Power Apps -portaaleja kutsutaan 12. lokakuuta 2022 alkaen nimellä Power Pages. Lisätietoja: Microsoft Power Pages on nyt yleisesti saatavilla (blogi)
Siirrämme ja yhdistämme Power Apps -portaalien dokumentaation pian Power Pagesin dokumentaatioon.

Sisällön suojauskäytäntö (CSP) on ylimääräinen suojaustaso, joka auttaa havaitsemaan ja vähentämään tietyntyyppisiä verkkohyökkäyksiä, kuten tietojen varkauksia, sivustojen hakkerointeja tai haittaohjelmien jakelua. CSP sisältää kattavan joukon käytäntöjä, jotka auttavat hallitsemaan sivuston sivun lataamisen sallimaa resurssia. Kukin direktiivi määrittää tietyntyyppisen resurssin rajoitukset.

Kun CSP on otettu käyttöön portaalisivustossa, se auttaa parantamaan suojausta estämällä yhteydet, komentosarjat, fontit ja muut resurssit, jotka ovat peräisin tuntemattomista tai haitallisista lähteistä. CSP on oletusarvoisesti poissa käytöstä portaalissa. Monet sivustot saattavat kuitenkin edellyttää CSP:n käyttöä muiden suojausten tehosteena.

Lisätietoja CSP:stä on kohdassa Sisällön suojauskäytännön viitteet.

Määritä CSP

  1. Kirjaudu Power Appsiin.

  2. Varmista, että olet ympäristössä, jossa portaali on.

  3. Valitse vasemmassa ruudussa Sovellukset ja sitten Portaalin hallinta -sovellus.

    Sovellukset-valikon vaihtoehto Power Appsille, jonka Portaalin hallinta -sovellus on valittu.

  4. Valitse vasemmasta ruudusta Sivuston asetukset.

  5. Luo (tai päivitä) HTTP/Content-Security-Policy -sivustoasetus ja määritä CSP-viittaus -sivulla tarvittavat arvot puolipisteillä erotettuina.

    Esimerkiksi

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Power Apps -asetuksen Sivuston asetukset -valikkovaihtoehto.

Ota Nonce käyttöön

Noncen (kerran käytetty numero) ottaminen käyttöön estää kaikkien upotettujen komentosarjojen suorittamisen paitsi niiden, jotka on määritetty tekstin sisäisessä komentosarjassa. Luodaan yksilöllinen salausmenetelmä, joka lisätään kuhunkin CSP-otsikossa määritettyyn komentosarjaan. Portaaleissa nonce tukee vain sisäisiä komentosarjoja ja sisäisiä tapahtumakäsittelijöitä. Lisätietoja noncesta on ohjeaiheessa Noncen käyttäminen CSP:n kanssa.

Jos haluat ottaa nonce-arvon käyttöön portaaleissa, lisää script-src 'nonce';-arvo HTTP/Content-Security-Policy -sivustoasetuksiin.

Esimerkit

Jos haluat noudattaa tarkkaa käytäntöä etkä halua sallia komentosarjojen lataamista portaalien ulkopuolelta, käytä seuraavaa:

script-src 'self' content.powerapps.com 'nonce'

Jos haluat ladata komentosarjoja mistä tahansa suojatusta lähteestä, käytä seuraavaa:

script-src https: 'nonce'

Huomautus

  • Kun nonce on käytössä, unsafe-eval-ominaisuus lisätään automaattisesti suojaamattoman koodin automaattisen tarkistuksen tukemiseksi. Jos haluat poistaa unsafe-eval-ominaisuuden automaattisen lisäämisen käytöstä, päivitä sivuston asetuksen HTTP/Content-Security-Policy/Inject-unsafe-eval arvoksi epätosi.
  • Jos unsafe-eval-lisäys ei ole käytössä, perus- ja kehittyneiden -lomakkeiden automaattisesti luodun kentän tarkistus ei ehkä enää toimi oikein.