Klikkauskaappaus käyttää upotettuja iFrame-kehyksiä ja muita komponentteja käyttäjän verkkosivulla tapahtuvan toiminnan kaappaamiseen.
Power Pages sisältää HTTP/X-Frame-Options-sivustoasetukset ja SAMEORIGIN-oletusasetukset, joiden avulla suojaudutaan klikkauskaappauksilta.
Lisätietoja: HTTP-otsikoiden määrittäminen Power Pagesissa
Power Pages tukee sisällön suojauskäytäntöä. Kattavaa testausta suositellaan sen jälkeen, kun sisällön suojauskäytäntö on otettu käyttöön Power Pages -sivustossa.
Lisätietoja: Sivuston sisällön suojauskäytännön hallinta
Power Pages tukee oletusarvoisesti uudelleenohjausta http-osoitteesta https-osoitteeseen. Jos pyyntö merkitään, tarkista estetäänkö pyyntö sovelluspalvelutasolla. Jos pyyntö ei onnistu (vastauskoodi >= 400), kyse on virheellisestä esiintymästä.
Miksi tunkeutumistestaustyökalut havaitsevat tai raportoivat evästeet, joissa ei ole HTTPOnly/SameSite-merkintöjä?
Power Pages määrittää HTTPOnly/SameSite-merkinnät kullekin kriittiselle evästeelle. Vaikka HTTPOnly/SameSite-määritystä ei tehdä joillekin ei-kriittisille evästeille, niitä ei katsota haavoittuvuuksiksi.
Lisätietoja: Power Pagesin evästeet
Tunkeutumistestausraportissa on merkintänä, että Bootstrap 3:n käyttöikä on päättynyt tai että ohjelmisto on vanhentunut. Mitä asialle pitäisi tehdä?
There are no known vulnerabilities on Bootstrap 3:ssa ei ole tunnettuja haavoittuvuuksia. Voit kuitenkin siirtää sivuston Bootstrap 5:een.
Kaikki Microsoftin palvelut ja tuotteet on määritetty käyttämään hyväksyttyjä salauspaketteja täsmälleen Microsoft Crypto Boardin määräämässä järjestyksessä.
Täysi luettelo ja tarkka järjestys: Power Platform -ohjeet.
Kaikki salaustekniikoiden vanhentumisiin liittyvät tiedot ilmoitetaan Power Platformin tärkeiden muutosten dokumentaatiossa.
Miksi Power Pages tukee edelleen RSA-CBC-salauksia (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ja TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), joita pidetään heikompina?
Microsoft punnitsee suhteellista riskiä ja asiakasriitaa valitessaan salaustekniikoiden tukensa. RSA-CBC-salausohjelmistopaketteja ei ole vielä rikottu. Olemme varmistaneet, että ne ovat yhteensopivia palveluissamme ja tuotteissamme ja tukevat kaikkia asiakasmäärityksiä. Ne ovat kuitenkin tärkeysjärjestyksessä viimeisenä.
Salaukset vanhentuvat Microsoftin salaustaulukon jatkuvan arvioinnin perusteella.
Lisätietoja: Mitä TLS 1.2 -salausohjelmistoja Power Pages tukee?
Power Pages perustuu Microsoft Azureen ja käyttää Azure DDoS -suojausta DDoS-hyökkäyksiltä suojautumiseen. Myös käyttövalmiiden tai kolmannen osapuolen AFD:n/WAF:n ottaminen käyttöön voi parantaa sivuston suojausta.
Lisätietoja:
Tunkeutumistestiraporttiin on merkitty CKEditorin haavoittuvuus. Miten voin lieventää tätä haavoittuvuutta?
RTE PCF -ohjausobjekti korvaa CKEditor piakkoin. Jos tätä ongelmaa halutaan lieventää ennen RTE PCF -ohjausobjektin julkaisua, poista CKEditor käytöstä määrittämällä sivun asetukseksi DisableCkEditorBundle = true. Tekstikenttä korvaa käytöstä poistetun CKEditorin.
HTML-koodaus kannattaa suorittaa ennen ei-luotetusta lähteestä peräisin olevien tietojen hahmontamista.
Lisätietoja: Saatavana olevat koodaussuodattimet.
Oletusarvoisesti ASP.Net todennuspyynnön ominaisuus on käytössä Power Pages -lomakkeilla komentosarjojen lisäyshyökkäysten estämiseksi. Jos luot oman lomakkeen ohjelmointirajapinnan avulla, Power Pages sisällyttää useita toimenpiteitä injektiohyökkäysten estämiseksi.
- Varmista asianmukainen HTML-puhdistus, kun käsittelet käyttäjän syötteitä lomakkeesta tai mistä tahansa verkko-ohjelmointirajapintaa käyttävästä tiedonhallinnasta.
- Suorita syötteiden ja tulosten puhdistus kaikille tulo- ja lähtötiedoille ennen niiden näyttämistä sivulla. Tämä sisältää tiedot, jotka on haettu liquidin/WebAPI:n kautta tai lisätty/päivitetty Dataverseen näiden kanavien kautta.
- Jos erityistarkistuksia tarvitaan ennen lomaketietojen lisäämistä tai päivittämistä, voit kirjoittaa laajennuksia, jotka suorittavat tietojen vahvistamisen palvelinpuolella.
Lisätietoja: Power Pagesin suojauksen ohjekirja.