Paramètres avancés (version préliminaire)
[Cette rubrique fait partie de la documentation en version préliminaire et peut faire l’objet de modifications.]
L’espace de travail Sécurité vous permet de protéger davantage le contenu et les données de votre site contre les menaces de sécurité, directement depuis le Power Pages studio de conception. Utilisez les paramètres avancés pour configurer rapidement et efficacement les en-têtes HTTP de votre site, configurer la politique de sécurité du contenu (CSP), le partage de ressources inter-origines (CORS), les cookies, les autorisations, etc.
Important
- Cette fonctionnalité est en version préliminaire.
- Les fonctionnalités en version préliminaire ne sont pas destinées à une utilisation en production et peuvent être restreintes. Ces fonctionnalités sont disponibles avant une publication officielle afin que les clients puissent y accéder de façon anticipée et fournir des commentaires.
- Connectez-vous à Power Pages et ouvrez votre site pour la modification.
- Sélectionnez Espace de travail de sécurité dans le menu de navigation de gauche, puis choisissez Paramètres avancés (version préliminaire).
Configurer la stratégie de sécurité du contenu (CSP)
La stratégie de sécurité du contenu (CSP) est utilisée par les serveurs Web pour appliquer un ensemble de règles de sécurité pour une page Web. Il aide à protéger les sites contre divers types d’attaques de sécurité telles que les scripts intersites (XSS), l’injection de données et d’autres attaques par injection de code.
Directives
Les directives suivantes sont prises en charge.
| Directive | Description |
|---|---|
| Source par défaut | Spécifie la source par défaut pour le contenu non explicitement défini par d’autres directives. Il sert de repli pour d’autres directives. |
| Source d’image | Spécifie des sources valides pour les images. Contrôle les domaines à partir desquels les images peuvent être chargées. |
| Source de la police | Spécifie des sources valides pour les polices. Utilisé pour contrôler les domaines à partir desquels les polices Web peuvent être chargées. |
| Source du script | Spécifie des sources valides pour le code JavaScript. La source du script peut inclure des domaines spécifiques, "self" pour la même origine, "unsafe-inline" pour les scripts en ligne et "nonce-xyz" pour les scripts avec un nom occasionnel spécifique. Choisissez d’activer le cas occasionnel ou d’injecter une évaluation non sécurisée. Pour en savoir plus, consultez Gérer la stratégie de sécurité du contenu de votre site : Activer nonce |
| Source de style | Spécifie des sources valides pour les feuilles de style. Semblable à script-src, il peut inclure des domaines, "self", "unsafe-inline" et "nonce-xyz". |
| Connecter la source | Spécifie des sources valides pour XMLHttpRequest, WebSocket ou EventSource. Contrôle les domaines auxquels la page peut envoyer des requêtes réseau. |
| Source du contenu multimédia | Spécifie des sources valides pour l’audio et la vidéo. Utilisé pour contrôler les domaines à partir desquels les ressources média peuvent être chargées. |
| Source du cadre | Spécifie des sources valides pour les cadres. Contrôle les domaines à partir desquels la page peut intégrer des cadres. |
| Ancêtres de cadre | Spécifie des sources valides qui peuvent intégrer la page actuelle en tant que cadre. Contrôle quels domaines sont autorisés à intégrer la page. |
| Action formulaire | Spécifie des sources valides pour les soumissions de formulaires. Définit les domaines vers lesquels les données du formulaire peuvent être envoyées. |
| Source d’objet | Spécifie des sources valides pour les ressources de l’élément objet, telles que des fichiers Flash ou d’autres objets incorporés. Cela permet de contrôler à partir de quelles origines ces objets peuvent être chargés. |
| Source du collaborateur | Spécifie les sources valides pour les travailleurs Web, y compris les travailleurs dédiés, les travailleurs partagés et les service Workers. Cela permet de contrôler à partir de quelles origines ces scripts travailleur peuvent être chargés et exécutés. |
| Source manifeste | Spécifie les sources valides pour les travailleurs Web, y compris les travailleurs dédiés, les travailleurs partagés et les service Workers. Cela permet de contrôler à partir de quelles origines ces scripts travailleur peuvent être chargés et exécutés. |
| Source enfant | Spécifie les sources valides pour les travailleurs Web, y compris les travailleurs dédiés, les travailleurs partagés et les service Workers. Cela permet de contrôler à partir de quelles origines ces scripts travailleur peuvent être chargés et exécutés. |
Pour chaque directive, vous pouvez choisir une URL spécifique, tous les domaines ou aucun.
Pour la configuration avancée, accédez à Gérer la stratégie de sécurité du contenu de votre site : Définir la stratégie CSP de votre site.
Configurer le Partage des ressources Cross-Origin (CORS)
Le partage de ressources inter-origines (CORS) est utilisé par les navigateurs Web pour autoriser ou restreindre les applications Web qui s’exécutent dans un domaine pour demander des ressources d’un autre domaine et y accéder.
Directives
Les directives suivantes sont prises en charge.
| Directive | Description | Value(s) |
|---|---|---|
| Autoriser l’accès aux ressources du serveur | Également connu sous le nom d’Access-Control-Allow-Origin, aide le serveur à décider quelles origines sont autorisées à accéder à ses ressources. Les origines peuvent être des domaines, des protocoles et des ports. | Choisissez les URL de domaine |
| Envoyer des en-têtes lors des requêtes du serveur | Également connu sous le nom Access-Control-Allow-Headers, aide à définir les en-têtes qui peuvent être envoyés dans les demandes d’une autre origine pour accéder aux ressources sur le serveur. | Choisissez des en-têtes spécifiques avec les autorisations suivantesOrigineAccepterAutorisationContenu – type |
| Exposer les valeurs d’en-tête dans le code côté client | Également connue sous le nom d’Access-Control-Expose-Headers, cette directive indique au navigateur quels en-têtes de réponse doivent être exposés et rendus accessibles au code côté client demandeur dans les requêtes d’origine croisée. | Choisissez des en-têtes spécifiques avec les autorisations suivantesOrigineAccepterAutorisationContenu – type |
| Définir les méthodes pour accéder aux ressources | Également connu sous le nom Access-Control-Allow-Methods, permet de définir les méthodes HTTP autorisées lors de l’accès aux ressources sur un serveur d’une origine différente. | GET – Demande des données à partir d’une ressource spécifiéePOST – Soumet les données à traiter à une ressource spécifiéePUT – Met à jour ou remplace une ressource à une URL spécifiqueHEAD – Identique à GET mais récupère uniquement les en-têtes et non le contenu réelPATCH – Modifie partiellement une ressourceOPTIONS – Demande des informations sur les options de communication disponibles pour une ressource ou un serveurDELETE – Supprime la ressource spécifiée |
| Spécifier la durée de mise en cache des résultats des requêtes | Également connu sous le nom Access-Control-Max-Age, il permet de définir la durée pendant laquelle les résultats d’une demande de pré-mise en cache peuvent être mis en cache par le navigateur. | Spécifier durée en temps (secondes) |
| Autoriser le site à partager les informations d’identification | Aussi appelé Access-Control-Allow-Credentials, aide à définir si le site peut partager des informations d’identification comme des cookies, des en-têtes d’autorisation ou des certificats SSL côté client lors de requêtes interorigine. | Oui/non |
| Afficher la page Web en tant que iFrame de la même origine | Également connu sous le nom X-Frame-Options, permet d’afficher la page dans un iFrame uniquement si la demande provient de la même origine. | Oui/non |
| Bloquer le reniflage MIME | Également connu sous le nom X-Content-Type-Options: no-sniff, cela empêche les navigateurs Web d’effectuer un reniflage de type MIME (type de contenu) ou de deviner le type de contenu d’une ressource. | Oui/non |
Configurer les cookies (CSP)
L’en-tête Cookie d’une requête HTTP contient des informations sur les cookies précédemment stockés par un site Web dans votre navigateur. Lorsque vous visitez un site Web, votre navigateur renvoie au serveur un en-tête Cookie contenant tous les cookies pertinents associés à ce site.
Directives
Les directives suivantes sont prises en charge.
| Directive | Description | En-tête |
|---|---|---|
| Règles de transfert pour tous les cookies | Contrôlez la manière dont les cookies sont envoyés avec les requêtes cross-origin. Il s’agit d’une fonctionnalité de sécurité visant à atténuer certains types d’attaques de falsification de requêtes intersites (CSRF) et de fuite d’informations. | Ce paramètre correspond à l’en-tête SameSite/Default. |
| Règles de transfert pour des cookies spécifiques | Contrôlez la manière dont les cookies sont envoyés avec les requêtes cross-origin. Il s’agit d’une fonctionnalité de sécurité visant à atténuer certains types d’attaques de falsification de requêtes intersites (CSRF) et de fuite d’informations. | Ce paramètre correspond à l’en-tête SameSite/cookie spécifique. |
Configurer Permissions-Policy (CSP)
L’en-tête Permissions-Policy permet aux développeurs Web de contrôler quelles fonctionnalités de la plateforme Web sont autorisées ou refusées sur une page Web.
Directives
Les directives suivantes sont prises en charge et contrôlent l’accès à leurs API respectives.
- Accelerometer
- Ambient-Light-Sensor
- Lecture automatique
- Battery
- Caméra
- Écran d’affichage
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Géolocalisation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microphone
- Midi
- Otp-Credentials
- Paiement
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurer plus en-têtes HTTP
Autoriser la connexion sécurisée via HTTPS
Le paramètre correspondant à l’en-tête HTTP Strict-Transport-Security informe le navigateur qu’il ne doit se connecter au site Web que via HTTPS, même si l’utilisateur saisit "http://" dans la barre d’adresse. Il aide à prévenir les attaques de l’homme du milieu en garantissant que toutes les communications avec le serveur sont cryptées et protège contre certains types d’attaques, telles que les attaques par déclassement de protocole et le détournement de cookies.
Note
Pour des raisons de sécurité, ce paramètre ne peut pas être modifié.
Inclure les informations de référence dans les en-têtes HTTP
L’en-tête HTTP Referrer-Policy est utilisé pour contrôler la quantité d’informations sur l’origine de la demande (informations sur le référent) qui sont divulguées dans les en-têtes HTTP lorsqu’un utilisateur navigue d’une page à une autre. Cet en-tête permet de contrôler les aspects de confidentialité et de sécurité liés aux informations de référence.
| Value | Description |
|---|---|
| Aucun référent | Aucun référent signifie qu’aucune information de référent n’est envoyée dans les en-têtes. Ce paramètre est l’option la plus soucieuse de la confidentialité. |
| Aucun référent lors du passage à une version antérieure | Il envoie les informations complètes du référent lors de la navigation d’un site HTTPS vers un site HTTP, mais uniquement l’origine (pas de chemin ni de requête) lors de la navigation entre des sites HTTPS. |
| Origine identique – Referrer-Policy | La même origine envoie les informations complètes du référent uniquement lorsque la demande concerne la même origine. Pour les demandes d’origine croisée, seule l’origine est envoyée. |
| Origine | Origin envoie l’origine du référent, mais aucune information de chemin ou de requête, à la fois pour les requêtes de même origine et celles d’origine croisée. |
| Origine stricte | Similaire à l’origine, mais envoie uniquement des informations de référent pour les demandes de la même origine. |
| Origine quand interorigine | Similaire à l’origine, mais envoie uniquement des informations de référent pour les demandes de la même origine. |
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour