Problèmes de sécurité (version préliminaire)
[Cette rubrique fait partie de la documentation en version préliminaire et peut faire l’objet de modifications.]
Dans cet article, vous découvrez les résultats de diagnostic du vérificateur de site pour les problèmes de sécurité.
Important
- Cette fonctionnalité est une fonctionnalité en version préliminaire.
- Les fonctionnalités en version préliminaire ne sont pas destinées à une utilisation en production et peuvent être restreintes. Ces fonctionnalités sont disponibles avant une publication officielle afin que les clients puissent y accéder de façon anticipée et fournir des commentaires.
Web Application Firewall est activé
Activez Web Application Firewall pour sécuriser votre site. Pour plus d’informations : Configurer Web Application Firewall pour Power Pages (version préliminaire)
Accès anonyme aux tables Dataverse
Cette vérification échoue si une ou plusieurs autorisations de table autorisent les utilisateurs anonymes à accéder aux données Dataverse. Vérifiez les autorisations de table et supprimez l’accès des utilisateurs anonymes, sauf si votre cas d’utilisation nécessite un accès anonyme. Pour plus d’informations : Configuration des autorisations de table
Validation du modèle Web
La validation du modèle Web est activée par défaut et empêche l’exécution de scripts malveillants sur votre site web. Cette vérification échoue lorsque la validation du modèle Web est désactivée. Vous pouvez activer la validation du modèle Web en supprimant le paramètre « DisableValidationWebTemplate » ou en définissant la valeur sur false. Pour plus d’informations : Configurer les paramètres de site pour les sites web
En-têtes HTTP
Les paramètres de site suivants sont utilisés pour configurer CORS et leurs valeurs recommandées. Examinez et basculez les en-têtes sur les valeurs recommandées, sauf indication contraire de votre cas d’utilisation.
| Vérification de la sécurité | Paramètre du site | Valeur recommandée |
|---|---|---|
| Restriction du mode Access-Control-Allow-Origin | HTTP/Access-Control-Allow-Origin | False ou supprimer le paramètre |
| Restriction du mode Access-Control-Allow-Credentials | HTTP/Access-Control-Allow-Credentials | False ou supprimer le paramètre |
| Stratégie de sécurité du contenu | HTTP/Content-Security-Policy | script-src https : « nonce » |
| Configuration X-Frame-Options | HTTP/X-Frame-Options | SAMEORIGINE ou DENY |
| Configuration de HTTP/X-Content-Type-Options | HTTP/X-Content-Type-Options | nosniff |