Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
[Este artigo é a documentación de prelanzamento e está suxeito a cambios.]
O espazo de traballo de Seguridade permíteche protexer aínda máis o contido e os datos do teu sitio contra as ameazas de seguridade, directamente desde o Power Pages estudio de deseño. Usa a configuración avanzada para configurar as cabeceiras HTTP do teu sitio de forma rápida e eficiente, configurar a política de seguranza de contido (CSP), o uso compartido de recursos entre orixes (CORS), as cookies, os permisos e moito máis.
Importante
- Esta é unha funcionalidade de vista previa.
- As funcionalidades en versión preliminar non están destinadas a usarse en produción e poderían ter restrinxida a funcionalidade. Estas funcionalidades están suxeitas a *condicións de uso adicionais* e están dispoñibles antes do lanzamento oficial para que os clientes poidan obter acceso anticipado e proporcionar comentarios. ...
- Inicia sesión en Power Pages e abre o teu sitio para editalo.
- Selecciona Espazo de traballo de seguranza na navegación esquerda e, a seguir, escolle Configuración avanzada (vista previa).
Configurar a política de seguranza do contido (CSP)
A política de seguridade do contido (CSP) é utilizada polos servidores web para aplicar un conxunto de regras de seguridade a unha páxina web. Axuda a protexer os sitios web de varios tipos de ataques de seguridade como cross-site scripting (XSS), inxección de datos e outros ataques de inxección de código.
Directivas
Admítense as seguintes directivas.
| Directiva | Descrición |
|---|---|
| Orixe predefinida | Especifica a fonte predefinida para o contido non definido explicitamente por outras directivas. Actúa como unha alternativa para outras directivas. |
| Orixe da imaxe | Especifica fontes válidas para imaxes. Controla os dominios desde os que se poden cargar imaxes. |
| Orixe do tipo de letra | Especifica as fontes válidas para os tipos de letra. Úsase para controlar os dominios desde os que se poden cargar as fontes web. |
| Orixe do script | Especifica fontes válidas para o código JavaScript. A fonte do script pode incluír dominios específicos, 'self' para a mesma orixe, 'unsafe-inline' para scripts en liña e 'nonce-xyz' para scripts cun nonce específico. Escolle entre activar nonce ou inxectar avaliación insegura. Máis información en Xestionar a política de seguranza de contidos do teu sitio: Activar nonce |
| Orixe do estilo | Especifica fontes válidas para follas de estilo. Do mesmo xeito que script-src, pode incluír dominios, 'self', 'unsafe-inline' e 'nonce-xyz'. |
| Orixe da conexión | Especifica fontes válidas para XMLHttpRequest, WebSocket ou EventSource. Controla os dominios aos que a páxina pode facer solicitudes de rede. |
| Orixe dos elementos multimedia | Especifica fontes válidas para audio e vídeo. Úsase para controlar os dominios desde os que se poden cargar recursos multimedia. |
| Orixe do marco | Especifica fontes válidas para os marcos. Controla os dominios desde os que a páxina pode inserir marcos. |
| Antepasados do marco | Especifica fontes válidas que poden incrustar a páxina actual como un marco. Controla que dominios poden inserir a páxina. |
| Acción do formulario | Especifica as fontes válidas para os envíos de formularios. Define os dominios aos que se poden enviar datos de formularios. |
| Orixe do obxecto | Especifica as fontes válidas para os recursos do elemento obxecto, como ficheiros Flash ou outros obxectos incrustados. Axuda a controlar as orixes desde as que se poden cargar estes obxectos. |
| Orixe do traballador | Especifica fontes válidas para os traballadores web, incluídos os traballadores dedicados, os traballadores compartidos e os traballadores de servizo. Axuda a controlar desde que orixes se poden cargar e executar estes scripts de traballo. |
| Orixe do manifesto | Especifica fontes válidas para os traballadores web, incluídos os traballadores dedicados, os traballadores compartidos e os traballadores de servizo. Axuda a controlar desde que orixes se poden cargar e executar estes scripts de traballo. |
| Orixe secundaria | Especifica fontes válidas para os traballadores web, incluídos os traballadores dedicados, os traballadores compartidos e os traballadores de servizo. Axuda a controlar desde que orixes se poden cargar e executar estes scripts de traballo. |
Para cada directiva, podes escoller un URL específico, todos os dominios ou ningún.
Para unha configuración avanzada, vaia a Xestionar a política de seguranza de contido do seu sitio: defina o CSP do seu sitio.
Configurar a compartición de recursos entre orixes (CORS)
Os navegadores web empregan a compartición de recursos entre orixes (CORS) para permitir ou restrinxir que as aplicacións web que se executan nun dominio soliciten e accedan a recursos doutro dominio.
Directivas
Admítense as seguintes directivas.
| Directiva | Descrición | Valores |
|---|---|---|
| Permitir acceso aos recursos desde o servidor | Tamén coñecido como Access-Control-Allow-Origin, axuda ao servidor a decidir que orixes teñen permiso para acceder aos seus recursos. As orixes poden ser dominios, protocolos e portos. | Escolle as URL do dominio |
| Enviar cabeceiras durante as solicitudes de servidor | Tamén coñecida como Access-Control-Allow-Headers, axuda a definir as cabeceiras que se poden enviar en solicitudes desde unha orixe diferente para acceder aos recursos do servidor. | Escolla cabeceiras específicas cos seguintes permisos Orixe Aceptar Autorización Contido: tipo |
| Expoñer valores de cabeceira no código do cliente | Tamén coñecida como Access-Control-Expose-Headers, esta directiva indica ao navegador que cabeceiras de resposta deben expoñerse e facerse accesibles ao código do lado do cliente solicitante en solicitudes de orixe cruzada. | Escolla cabeceiras específicas cos seguintes permisos Orixe Aceptar Autorización Contido: tipo |
| Definir métodos para acceder aos recursos | Tamén coñecido como Access-Control-Allow-Methods, axuda a definir que métodos HTTP están permitidos ao acceder a recursos nun servidor desde unha orixe diferente. | GET - Solicita datos dun recurso especificado POST - Envía datos para seren procesados a un recurso especificado PUT - Actualiza ou substitúe un recurso nun URL específico HEAD - Igual que GET pero recupera só as cabeceiras e non o contido real PATCH - Modifica parcialmente un recurso OPTIONS - Solicita información sobre as opcións de comunicación dispoñibles para un recurso ou servidor DELETE - Elimina o recurso especificado |
| Especificar duración para almacenar na caché os resultados dunha solicitude | Tamén coñecida como Access-Control-Max-Age, axuda a definir a duración para a cal os resultados dunha solicitude de comprobación previa poden ser almacenadas na caché polo explorador. | Especificar a duración en tempos (segundos) |
| Permitir que o sitio comparta as credenciais | Tamén coñecida como Access-Control-Allow-Credentials, axuda a definir se o sitio pode compartir credenciais (como cookies, cabeceiras de autorización ou certificados SSL do lado do cliente) durante as solicitudes entre orixes. | Si/Non |
| Mostrar páxina web como iFrame da mesma orixe | Tamén coñecida como X-Frame-Options, permite mostrar a páxina nun iFrame só se a solicitude procede da mesma orixe. | Si/Non |
| Bloquear detección MIME | Tamén coñecida como X-Content-Type-Options: no-sniff, axuda a evitar que os exploradores web realicen o detector de tipo MIME (tipo de contido) ou adiviñen o tipo de contido dun recurso. | Si/Non |
Configurar as cookies (CSP)
A cabeceira da cookie nunha solicitude HTTP contén información sobre as cookies almacenadas previamente por un sitio web no teu navegador. Cando visitas un sitio web, o teu navegador envía ao servidor unha cabeceira de cookie que contén todas as cookies relevantes asociadas a ese sitio.
Directivas
Admítense as seguintes directivas.
| Directiva | Descrición | Cabeceira |
|---|---|---|
| Transferir regras a todas as cookies | Controla como se envían as cookies coas solicitudes de orixe cruzada. É unha característica de seguranza destinada a mitigar certos tipos de ataques de falsificación de solicitudes entre sitios (CSRF) e de fuga de información. | Esta configuración corresponde á cabeceira SameSite/Default. |
| Transferir regras a cookies concretas | Controla como se envían as cookies coas solicitudes de orixe cruzada. É unha característica de seguranza destinada a mitigar certos tipos de ataques de falsificación de solicitudes entre sitios (CSRF) e de fuga de información. | Esta configuración corresponde á cabeceira SameSite/Specific cookie. |
Configurar a política de permisos (CSP)
A cabeceira Permissions-Policy permite aos desenvolvedores web controlar que funcionalidades da plataforma web están permitidas ou denegadas nunha páxina web.
Directivas
As seguintes directivas son compatibles e controlan o acceso ás súas respectivas API.
- Accelerometer
- Ambient-Light-Sensor
- Reprodución automática
- Battery
- Cámara
- Mostrar
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Xeolocalización
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Micrófono
- Midi
- Otp-Credentials
- Pagamento
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurar máis cabeceiras HTTP
Permitir conexión segura a través de HTTPS
A configuración correspondente á cabeceira HTTP Strict-Transport-Security informa ao navegador de que só debe conectarse ao sitio web a través de HTTPS, mesmo se o usuario introduce "http:// " na barra de enderezos. Axuda a previr ataques de tipo man-in-the-middle ao garantir que toda a comunicación co servidor estea cifrada e protexe contra certos tipos de ataques, como ataques de degradación de protocolo e secuestro de cookies.
Nota
Por razóns de seguridade, esta configuración non se pode modificar.
Incluír información de referencia nas cabeceiras HTTP
A cabeceira HTTP Referrer-Policy úsase para controlar canta información sobre a orixe da solicitude (información do referente) se revela nas cabeceiras HTTP cando un usuario navega dunha páxina a outra. Esta cabeceira axuda a controlar os aspectos de privacidade e seguridade relacionados coa información do referente.
| Valor | Descrición |
|---|---|
| Non hai orixes de referencia | "Sen referencia" significa que non se envía información da referencia nas cabeceiras. Esta configuración é a opción máis respectuosa coa privacidade. |
| Non hai orixes de referencia ao mudar a unha versión anterior | Envía a información completa do referente ao navegar desde un sitio HTTPS a un sitio HTTP, pero só a orixe (sen ruta nin consulta) ao navegar entre sitios HTTPS. |
| Mesma orixe - Política de referencia | Same-origin envía a información completa do referente só cando a solicitude é para a mesma orixe. Para as solicitudes de orixe cruzada, só se envía a orixe. |
| Orixe | Origin envía a orixe do referente, pero non información sobre a ruta nin a consulta, tanto para solicitudes da mesma orixe como para solicitudes de orixe cruzada. |
| Orixe estrita | Similar á orixe, pero só envía información da orixe de referencia para solicitudes da mesma orixe. |
| Orixe cando se produce unha acción entre orixes | Similar á orixe, pero só envía información da orixe de referencia para solicitudes da mesma orixe. |