Ler en inglés Editar

Compartir por


Preguntas frecuentes de seguranza de Power Pages

Como axuda a Power Pages a protexerse contra o clickjacking?

Clickjacking utiliza iFrames incorporados ou outros compoñentes para secuestrar as interaccións dun usuario cunha páxina web.
Power Pages proporciona configuración do sitio HTTP/X-Frame-Options con SAMEORIGIN predeterminado para protexerse contra ataques de clickjacking.

Máis información: Configuración de cabeceiras HTTP en Power Pages

Admite Power Pages a política de seguranza do contido?

Power Pages admite política de seguranza de contido (CSP). Recoméndase realizar probas exhaustivas despois de activar CSP en sitios web de Power Pages .

Máis información: Xestiona a Política de seguranza do contido do teu sitio

Power Pages admite a política de seguranza de transporte estrito HTTP?

De forma predeterminada, Power Pages admite redireccións HTTP a HTTPS. Se está marcado, verifique se a solicitude se está a bloquear a nivel de servizo da aplicación. Se non se trata dunha solicitude correcta (código de resposta >= 400), é un falso positivo.

Por que as ferramentas de proba de penetración detectan ou informan de cookies sen marcas HTTPOnly/SameSite?

Power Pages establece marcas HTTPOnly/SameSite para cada cookie crítica. Hai algunhas cookies non críticas para as que HTTPOnly/SameSite non está configurado, e estas non deberían considerarse unha vulnerabilidade.

Máis información: Cookies en Power Pages

O informe de proba do meu bolígrafo indica o final da vida útil/Software obsoleto - Bootstrap 3. Que debo facer respecto diso?

Non hai vulnerabilidades coñecidas en Bootstrap 3; non obstante, pode migrar o seu sitio a Bootstrap 5.

Con que cifrados é compatible Power Pages? Cal é a folla de ruta para avanzar continuamente cara a cifras máis fortes?

Todos os servizos e produtos de Microsoft están configurados para usar os paquetes de cifrado aprobados, na orde exacta indicada polo Microsoft Crypto Board.

Para obter a lista completa e a orde exacta, consulte a documentación Power Platform.

A información sobre as obsolescencias dos conxuntos de cifrado comunícase a través da documentación de Cambios importantes de Power Platform.

Por que Power Pages aínda admite os cifrados RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que se consideran máis débiles?

Microsoft sopesa o risco relativo e a interrupción das operacións dos clientes ao elixir os conxuntos de cifrado para admitir. Os paquetes de cifrado RSA-CBC aínda non se romperon. Permitimos que garantan a coherencia entre os nosos servizos e produtos e admitan todas as configuracións dos clientes; non obstante, están na parte inferior da lista de prioridades.

Renunciamos aos cifrados segundo a avaliación continua do Microsoft Crypto Board.

Máis información: Que conxuntos de cifrado TLS 1.2 son compatibles con Power Pages?

Como se protexe Power Pages de ataques de denegación de servizo distribuída (DDoS)?

Power Pages está construído en Microsoft Azure e utiliza Azure DDoS Protection para protexerse contra ataques DDoS. Ademais, activar OOB/AFD/WAF de terceiros pode engadir máis protección ao sitio.

Máis información:

O meu informe de proba de penetración está marcando unha vulnerabilidade en CKEditor. Como mitigo esta vulnerabilidade?

RTE PCF control substitúe a CKEditor pronto. Se desexa mitigar este problema antes do lanzamento do control RTE PCF, desactive CKEditor configurando a configuración do sitio DisableCkEditorBundle = true. Un campo de texto substitúe a CKEditor unha vez que está desactivado.

Como protexo o meu sitio web contra ataques XSS?

Recomendamos realizar a codificación HTML antes de renderizar os datos dunha fonte non fiable.

Máis información: Filtros de codificación dispoñibles.

Como protexo o meu sitio dos ataques de inxección?

De forma predeterminada, a función ASP.Net validación de solicitudes está habilitada nos Power Pages formularios para evitar ataques por inxección de scripts. Se estás a crear o teu propio formulario mediante a API, Power Pages incorpora varias medidas para evitar ataques de inxección.

  • Asegura a correcta desinfección do HTML ao manexar a entrada do usuario desde un formulario ou calquera control de datos que utilice a API web.
  • Implementa a desinfección de entrada e saída para todos os datos de entrada e saída antes de representalos na páxina. Isto inclúe os datos obtidos mediante liquid/WebAPI ou inseridos/actualizados en Dataverse a través destas canles.
  • Se se precisan comprobacións especiais antes de inserir ou actualizar os datos do formulario, pode escribir complementos que se executen para validar os datos no servidor.

Máis información: Power Pages Libro branco de seguridade.