Clickjacking koristi ugrađene iFrame ili druge komponente za otimanje korisnikove interakcije s web-stranicom.
Power Pages pruža postavke web-mjesta HTTP/X-Frame-Options sa zadanim SAMEORIGIN za zaštitu od napada otmice klikova.
Više informacija: Postavljanje zaglavlja HTTP na platformi Power Pages
Platforma Power Pages pravilnik za sigurnost sadržaja. Preporučuje se opsežno testiranje nakon omogućavanja CSP-a na Power Pages web-mjestima.
Dodatne informacije: Upravljanje pravilima sigurnosti sadržaja web-mjesta
Prema zadanim Power Pages postavkama, podržava HTTP na HTTPS preusmjeravanja. Ako je označen zastavicom, provjerite blokira li se zahtjev na razini usluge aplikacije. Ako zahtjev nije uspješan (šifra odgovora >= 400), lažno je pozitivan.
Platforma Power Pages postavlja oznake HTTPOnly/SameSite za svaki kritični kolačić. Postoje neki nekritični kolačići za koje se oznaka HTTPOnly/SameSite ne postavlja i oni se ne bi trebali smatrati ranjivošću.
Dodatne informacije: Kolačići na platformi Power Pages
Moje izvješće o testiranju olovke označava kraj života / zastarjeli softver - Bootstrap 3. Što da učinim?
Na Bootstrapu 3 nema poznatih ranjivosti; međutim, svoju web-lokaciju možete migrirati na Bootstrap 5.
Koje šifre platforma Power Pages podržava? Koji je putokaz neprekidnog kretanja prema jačim šiframa?
Sve Microsoftove usluge i proizvodi konfigurirani su za korištenje odobrenih paketa šifri, točnim redoslijedom prema uputama Microsoft Crypto Boarda.
Za potpuni popis i točan redoslijed pogledajte Power Platform dokumentaciju.
Informacije o zastarjelim paketima šifri priopćuju se putem dokumentacije o važnim promjenama platforme Power Platform.
Zašto Power Pages još uvijek podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijima?
Microsoft procjenjuje relativni rizik i poremećaj u radu klijenta pri odabiru paketa šifri za podršku. RSA-CBC paketi šifri još nisu provaljeni. Omogućili smo ih kako bismo pružili dosljednost u našim uslugama i proizvodima te da podržimo sve korisničke konfiguracije. Međutim, na dnu su popisa prioriteta.
Šifre uklanjamo na temelju stalnih procjena odbora Microsoft Crypto Board.
Više informacija: Koje pakete šifri TLS 1.2 platforma Power Pages podržava?
Platforma Power Pages izrađena je na servisu Microsoft Azure i koristi Azure DDoS Protection za zaštitu od DDoS napada. Također, omogućavanje OOB / AFD / WAF treće strane može dodati više zaštite na web mjestu.
Dodatne informacije:
Moje izvješće o penetracijskom testiranju javlja ranjivost u uređivaču CKEditor. Kako mogu ublažiti ovu ranjivost?
RTE PCF kontrola uskoro zamjenjuje CKEditor. Ako želite ublažiti ovaj problem prije izdavanja RTE PCF kontrole, onemogućite CKEditor konfiguriranjem postavki web-mjesta DisableCkEditorBundle = true. Tekstualno polje zamjenjuje CKEditor nakon što se onemogući.
Preporučujemo izvođenje HTML kodiranja prije prikazivanja podataka iz nepouzdanog izvora.
Više informacija: Dostupni filtri za kodiranje.
Prema zadanim postavkama, značajka provjere valjanosti zahtjeva ASP.Net omogućena je na Power Pages obrascima kako bi se spriječili napadi ubrizgavanjem skripti. Ako stvarate vlastiti obrazac pomoću API-ja, Power Pages uključuje nekoliko mjera za sprječavanje napada injekcija.
- Osigurajte pravilnu HTML sanitaciju prilikom rukovanja korisničkim unosom iz obrasca ili bilo koje kontrole podataka koja koristi Web API.
- Implementirajte ulaznu i izlaznu sanitaciju za sve ulazne i izlazne podatke prije nego što ih prikažete na stranici. To uključuje podatke koji se dohvaćaju putem tekućine/WebAPI-ja ili umeću/ažuriraju u Dataverse te kanale.
- Ako su prije umetanja ili ažuriranja podataka obrasca potrebne posebne provjere, možete napisati dodatke koji se izvršavaju za provjeru valjanosti podataka na strani poslužitelja.
Više informacija: Power Pages sigurnosna bijela knjiga.