Clickjacking utiliza iFrames incorporados ou outros compoñentes para secuestrar as interaccións dun usuario cunha páxina web.
Power Pages proporciona configuración do sitio HTTP/X-Frame-Options con SAMEORIGIN predeterminado para protexerse contra ataques de clickjacking.
Máis información: Configuración de cabeceiras HTTP en Power Pages
Power Pages admite política de seguranza de contido (CSP). Recoméndase realizar probas exhaustivas despois de activar CSP en sitios web de Power Pages .
Máis información: Xestiona a Política de seguranza do contido do teu sitio
De forma predeterminada, Power Pages admite redireccións HTTP a HTTPS. Se está marcado, verifique se a solicitude se está a bloquear a nivel de servizo da aplicación. Se non se trata dunha solicitude correcta (código de resposta >= 400), é un falso positivo.
Por que as ferramentas de proba de penetración detectan ou informan de cookies sen marcas HTTPOnly/SameSite?
Power Pages establece marcas HTTPOnly/SameSite para cada cookie crítica. Hai algunhas cookies non críticas para as que HTTPOnly/SameSite non está configurado, e estas non deberían considerarse unha vulnerabilidade.
Máis información: Cookies en Power Pages
O informe de proba do meu bolígrafo indica o final da vida útil/Software obsoleto - Bootstrap 3. Que debo facer respecto diso?
Non hai vulnerabilidades coñecidas en Bootstrap 3; non obstante, pode migrar o seu sitio a Bootstrap 5.
Con que cifrados é compatible Power Pages? Cal é a folla de ruta para avanzar continuamente cara a cifras máis fortes?
Todos os servizos e produtos de Microsoft están configurados para usar os paquetes de cifrado aprobados, na orde exacta indicada polo Microsoft Crypto Board.
Para obter a lista completa e a orde exacta, consulte a documentación Power Platform.
A información sobre as obsolescencias dos conxuntos de cifrado comunícase a través da documentación de Cambios importantes de Power Platform.
Por que Power Pages aínda admite os cifrados RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que se consideran máis débiles?
Microsoft sopesa o risco relativo e a interrupción das operacións dos clientes ao elixir os conxuntos de cifrado para admitir. Os paquetes de cifrado RSA-CBC aínda non se romperon. Permitimos que garantan a coherencia entre os nosos servizos e produtos e admitan todas as configuracións dos clientes; non obstante, están na parte inferior da lista de prioridades.
Renunciamos aos cifrados segundo a avaliación continua do Microsoft Crypto Board.
Máis información: Que conxuntos de cifrado TLS 1.2 son compatibles con Power Pages?
Power Pages está construído en Microsoft Azure e utiliza Azure DDoS Protection para protexerse contra ataques DDoS. Ademais, activar OOB/AFD/WAF de terceiros pode engadir máis protección ao sitio.
Máis información:
O meu informe de proba de penetración está marcando unha vulnerabilidade en CKEditor. Como mitigo esta vulnerabilidade?
RTE PCF control substitúe a CKEditor pronto. Se desexa mitigar este problema antes do lanzamento do control RTE PCF, desactive CKEditor configurando a configuración do sitio DisableCkEditorBundle = true. Un campo de texto substitúe a CKEditor unha vez que está desactivado.
Recomendamos realizar a codificación HTML antes de renderizar os datos dunha fonte non fiable.
Máis información: Filtros de codificación dispoñibles.
De forma predeterminada, a función ASP.Net validación de solicitudes está habilitada nos Power Pages formularios para evitar ataques por inxección de scripts. Se estás a crear o teu propio formulario mediante a API, Power Pages incorpora varias medidas para evitar ataques de inxección.
- Asegura a correcta desinfección do HTML ao manexar a entrada do usuario desde un formulario ou calquera control de datos que utilice a API web.
- Implementa a desinfección de entrada e saída para todos os datos de entrada e saída antes de representalos na páxina. Isto inclúe os datos obtidos mediante liquid/WebAPI ou inseridos/actualizados en Dataverse a través destas canles.
- Se se precisan comprobacións especiais antes de inserir ou actualizar os datos do formulario, pode escribir complementos que se executen para validar os datos no servidor.
Máis información: Power Pages Libro branco de seguridade.