Configurer des en-têtes de sécurité avec un ensemble de règles Azure Front Door Standard/Premium

Cet article montre comment implémenter des en-têtes de sécurité pour empêcher les vulnérabilités des navigateurs, comme HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy ou X-Frame-Options. Les attributs basés sur la sécurité peuvent également être définis avec des cookies.

L’exemple suivant vous montre comment ajouter un en-tête Content-Security-Policy à toutes les demandes entrantes qui correspondent au chemin dans la route. Ici, nous autorisons uniquement les scripts de notre site de confiance, https://apiphany.portal.azure-api.net , à s’exécuter sur notre application.

Prérequis

• Avant de pouvoir configurer les en-têtes de sécurité, vous devez créer une instance Front Door. Pour plus d’informations, consultez Démarrage rapide : Créer une porte d’entrée
• Passez en revue la configuration d’un ensemble de règles si vous n’avez pas encore utilisé la fonctionnalité Ensemble de règles.

Ajouter un en-tête Content-Security-Policy dans le portail Azure

1. Accédez au profil Azure Front Door Standard/Premium, puis sélectionnez Ensemble de règles sous Paramètres.

2. Sélectionnez Ajouter pour ajouter un nouvel ensemble de règles. Attribuez un Nom à l’ensemble de règles, puis un Nom à la règle. Sélectionnez Ajouter une action, puis sélectionnez En-tête de réponse.

3. Pour l’opérateur, choisissez Ajouter afin d’ajouter cet en-tête en tant que réponse à toutes les demandes entrantes pour cette route.

4. Ajoutez le nom de l’en-tête : Content-Security-Policy et définissez les valeurs que cet en-tête doit accepter. Dans ce scénario, nous choisissons « script-src 'self» https://apiphany.portal.azure-api.net".

5. Après avoir ajouté toutes les règles que vous souhaitez pour votre configuration, n’oubliez pas d’associer l’ensemble de règles à une route. Cette étape est nécessaire pour permettre à l’ensemble de règles d’agir.

Notes

Dans ce scénario, nous n’avons pas ajouté de conditions de correspondance à la règle. Cette règle est appliquée à toutes les demandes entrantes qui correspondent au chemin défini dans la route associée. Si vous voulez qu’elle s’applique seulement à un sous-ensemble de ces demandes, veillez à ajouter vos conditions de correspondance spécifiques à cette règle.

Nettoyer les ressources

Suppression d’une règle

Dans les étapes précédentes, vous avez configuré l’en-tête Content-Security-Policy avec un ensemble de règles. Si vous n’avez plus besoin d’une règle, vous pouvez sélectionner le nom de l’ensemble de règles, puis sélectionner Supprimer la règle.

Suppression d’un ensemble de règles

Si vous souhaitez supprimer un ensemble de règles, veillez à le dissocier de toutes les routes au préalable. Pour obtenir des instructions détaillées sur la suppression d’un ensemble de règles, consultez Configurer votre ensemble de règles.

Étapes suivantes

Pour savoir comment configurer un pare-feu d’applications web pour votre instance Front Door, consultez Web Application Firewall et Front Door.