Tutoriel : Ajouter des en-têtes de sécurité avec le moteur de règles

Ce tutoriel montre comment implémenter des en-têtes de sécurité pour empêcher les vulnérabilités des navigateurs, comme HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy ou X-Frame-Options. Les attributs basés sur la sécurité peuvent également être définis avec des cookies.

L’exemple suivant vous montre comment ajouter un en-tête Content-Security-Policy à toutes les demandes entrantes qui correspondent au chemin défini dans la route à laquelle votre configuration du moteur de règles est associée. Ici, nous autorisons uniquement les scripts de notre site de confiance, https://apiphany.portal.azure-api.net , à s’exécuter sur notre application.

Dans ce tutoriel, vous allez apprendre à :

  • Configurer un en-tête Content-Security-Policy dans le moteur de règles.

Prérequis

Ajouter un en-tête Content-Security-Policy dans le portail Azure

  1. Dans votre ressource d’instance Front Door, sélectionnez Configuration du moteur de règles sous Paramètres, puis sélectionnez le moteur de règles auquel vous souhaitez ajouter l’en-tête de sécurité.

    Capture d’écran montrant la page de configuration du moteur de règles d’Azure Front Door.

  2. Sélectionnez Ajouter une règle pour ajouter une nouvelle règle. Donnez un nom à la règle, puis sélectionnez Ajouter une action>En-tête de réponse.

  3. Pour l’opérateur, choisissez Ajouter afin d’ajouter cet en-tête en tant que réponse à toutes les requêtes entrantes adressées à cette route.

  4. Ajoutez le nom de l’en-tête, Content-Security-Policy, définissez les valeurs que cet en-tête doit accepter, puis sélectionnez Enregistrer. Dans ce scénario, nous choisissons script-src 'self' https://apiphany.portal.azure-api.net.

    Capture d’écran montrant l’en-tête de sécurité ajouté.

    Notes

    Les valeurs d’en-tête sont limitées à 640 caractères.

  5. Une fois que vous avez ajouté toutes les règles souhaitées à votre configuration, n’oubliez pas d’accéder à votre route préférée et d’associer la configuration de votre moteur de règles à la règle de routage. Cette étape est nécessaire pour permettre à la règle de fonctionner.

    Capture d’écran montrant comment associer une règle de routage.

    Notes

    Dans ce scénario, nous n’avons pas ajouté de conditions de correspondance à la règle. Cette règle est appliquée à toutes les demandes entrantes qui correspondent au chemin défini dans la règle de routage. Si vous voulez qu’elle s’applique seulement à un sous-ensemble de ces demandes, veillez à ajouter vos conditions de correspondance spécifiques à cette règle.

Nettoyer les ressources

Au cours des étapes précédentes, vous avez configuré les en-têtes de sécurité avec le moteur de règles de votre instance Front Door. Si vous ne souhaitez plus la règle, vous pouvez la supprimer en sélectionnant Supprimer la règle dans le moteur de règles.

Capture d’écran montrant comment supprimer la règle de sécurité.

Étapes suivantes

Pour découvrir comment configurer un pare-feu d’applications web pour votre profil Front Door, passez au tutoriel suivant.