क्लिकजैकिंग किसी वेबपेज के साथ उपयोगकर्ता के इंटरैक्शन को हाईजैक करने के लिए एम्बेडेड iFrames या अन्य घटकों का उपयोग करता है।
Power Pages क्लिकजैकिंग हमलों से बचाने के लिए डिफ़ॉल्ट SAMEORIGIN के साथ HTTP/X-फ़्रेम-ऑप्शंस साइट सेटिंग्स प्रदान करता है।
अधिक जानकारी: Power Pages में HTTP हेडर सेट करें
Power Pages सामग्री सुरक्षा नीति (CSP) का समर्थन करता है। Power Pages वेबसाइटों पर CSP को सक्षम करने के बाद व्यापक परीक्षण की सिफारिश की जाती है।
अधिक जानकारी: अपनी साइट की सामग्री सुरक्षा नीति प्रबंधित करें
डिफ़ॉल्ट रूप से, Power Pages HTTP से HTTPS रीडायरेक्ट का समर्थन करता है। यदि चिह्नित किया गया है, तो सत्यापित करें कि क्या अनुरोध ऐप सेवा स्तर पर अवरुद्ध हो रहा है। यदि यह एक सफल अनुरोध नहीं है (प्रतिक्रिया कोड >= 400), तो यह एक गलत सकारात्मक है।
HTTPOnly/SameSite फ़्लैग के बिना कुकीज़ को पेन परीक्षण टूल द्वारा क्यों पहचाना/रिपोर्ट किया जाता है?
Power Pages प्रत्येक महत्वपूर्ण कुकी के लिए HTTPOnly/SameSite फ़्लैग सेट करता है। कुछ गैर-महत्वपूर्ण कुकीज़ हैं जिनके लिए HTTPOnly/SameSite सेट नहीं है, और इन्हें भेद्यता नहीं माना जाना चाहिए।
अधिक जानकारी: कुकीज़ में Power Pages
मेरी पेन परीक्षण रिपोर्ट जीवन के अंत/अप्रचलित सॉफ़्टवेयर - बूटस्ट्रैप 3 को चिह्नित कर रही है। मुझे इसके बारे में क्या करना चाहते हैं?
बूटस्ट्रैप 3 पर कोई ज्ञात कमज़ोरी नहीं है; हालाँकि, आप अपनी साइट को बूटस्ट्रैप 5 पर माइग्रेट कर सकते हैं।
Microsoft क्रिप्टो बोर्ड द्वारा निर्देशित सटीक क्रम में, सभी Microsoft सेवाओं और उत्पादों को स्वीकृत साइफ़र सुइट्स का उपयोग करने के लिए कॉन्फ़िगर किया गया है.
पूरी सूची और सटीक क्रम के लिए, Power Platform दस्तावेज़ीकरण देखें.
सिफर सुइट्स के बहिष्करण के बारे में जानकारी Power Platform के महत्वपूर्ण परिवर्तन दस्तावेज़ के माध्यम से संप्रेषित की जाती है।
क्यों Power Pages अभी भी RSA-CBC साइफ़र (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) और TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) का समर्थन करता है, जिन्हें कमज़ोर माना जाता है?
Microsoft समर्थन करने के लिए साइफ़र सूट चुनने में ग्राहक के संचालन के सापेक्ष जोखिम और व्यवधान पर ज़ोर देता है. RSA-CBC साइफ़र सूट अभी तक तोड़ा नहीं गया है. हमने उन्हें हमारी सेवाओं और उत्पादों में निरंतरता सुनिश्चित करने और सभी ग्राहक कॉन्फ़िगरेशन का समर्थन करने में सक्षम बनाया है; हालाँकि, वे प्राथमिकता सूची में सबसे नीचे हैं।
हम Microsoft क्रिप्टो बोर्ड के निरंतर मूल्यांकन के आधार पर सिफर को अस्वीकार करते हैं।
अधिक जानकारी: कौन से TLS 1.2 सिफर सुइट्स Power Pages द्वारा समर्थित हैं?
Power Pages, Microsoft Azure पर बनाया गया है और Azure DDoS सुरक्षा का उपयोग DDoS हमलों से बचाव के लिए किया जाता है. इसके अलावा, OOB/तृतीय-पक्ष AFD/WAF को सक्षम करने से साइट पर अधिक सुरक्षा मिल सकती है।
और जानकारी:
आरटीई पीसीएफ नियंत्रण जल्द ही सीकेएडिटर की जगह लेगा। यदि आप आरटीई पीसीएफ नियंत्रण जारी होने से पहले इस समस्या को कम करना चाहते हैं, तो साइट सेटिंग DisableCkEditorBundle = true को कॉन्फ़िगर करके CKEditor को अक्षम करें। CKEditor के अक्षम हो जाने पर एक टेक्स्ट फ़ील्ड उसे प्रतिस्थापित कर देती है।
हम किसी अविश्वसनीय स्रोत से डेटा प्रस्तुत करने से पहले HTML एन्कोडिंग करने की अनुशंसा करते हैं।
अधिक जानकारी: उपलब्ध एन्कोडिंग फ़िल्टर.
डिफ़ॉल्ट रूप से, स्क्रिप्ट-इंजेक्शन हमलों को रोकने के लिए ASP.Net अनुरोध सत्यापन सुविधा फ़ॉर्म पर सक्षम होती है। Power Pages यदि आप एपीआई का उपयोग करके अपना स्वयं का फॉर्म बना रहे हैं, तो Power Pages इंजेक्शन हमलों को रोकने के लिए कई उपाय शामिल करता है।
- वेब API का उपयोग करने वाले किसी फॉर्म या किसी डेटा नियंत्रण से उपयोगकर्ता इनपुट को संभालते समय उचित HTML स्वच्छता सुनिश्चित करें।
- पेज पर प्रस्तुत करने से पहले सभी इनपुट और आउटपुट डेटा के लिए इनपुट और आउटपुट सैनिटाइजेशन लागू करें। इसमें लिक्विड/वेबएपीआई के माध्यम से प्राप्त किया गया या इन चैनलों के माध्यम से Dataverse में डाला/अपडेट किया गया डेटा शामिल है।
- यदि फॉर्म डेटा डालने या अपडेट करने से पहले विशेष जांच की आवश्यकता है, तो आप प्लगइन्स लिख सकते हैं जो सर्वर साइड पर डेटा को मान्य करने के लिए निष्पादित होते हैं।
अधिक जानकारी: Power Pages सुरक्षा श्वेत पत्र.