A kattintáseltérítés beágyazott iFrame-eket használ vagy más összetevőkkel téríti el a felhasználó és a weboldal közti interakciókat.
Power Pages HTTP/X-Frame-Options webhelybeállításokat biztosít az alapértelmezett SAMEORIGIN használatával a clickjacking támadások elleni védelem érdekében.
További információ: HTTP-fejlécek beállítása a Power Pages szolgáltatásban
A Power Pages támogatja a tartalomra vonatkozó biztonsági házirendet (CSP). A felhőszolgáltató Power Pages webhelyeken való engedélyezése után ajánlott széles körű tesztelést végezni.
További információ: A webhely tartalombiztonsági irányelveinek kezelése
Alapértelmezés szerint Power Pages támogatja a HTTP–HTTPS átirányításokat. Ha meg van jelölve, ellenőrizze, hogy a kérés blokkolva van-e App Service szinten. Ha a kérés nem sikerült (válaszkód >= 400), akkor vakriasztás volt.
Miért észlelik/jelentik a HTTPOnly/SameSite jelzők nélküli cookie-kat a behatolást tesztelő eszközök?
A Power Pages HTTPOnly/SameSite jelzőt állít be minden kritikus cookie-hoz. Vannak olyan nem kritikus cookie-k, amelyekhez nincs beállítva a HTTPOnly/SameSite, és ezek nem számítanak biztonsági résnek.
További információ: Sütik a Power Pages szolgáltatásban
A Pen tesztjelentésem az élettartam végét / elavult szoftvert jelzi - Bootstrap 3. Mit tegyek ellene?
A Bootstrap 3-on nincsenek ismert biztonsági rések; azonban áttelepítheti webhelyét a Bootstrap 5-re.
Milyen titkosítási elemekez támogat a Power Pages? Mi az ütemterv az erősebb rejtjelek felé való folyamatos elmozduláshoz?
Minden Microsoft szolgáltatás és termék úgy van konfigurálva, hogy a jóváhagyott titkosítócsomagokat használja, a Microsoft Crypto Board által meghatározott szigorú sorrendnek megfelelően.
A teljes lista és a pontos sorrend a Power Platform dokumentációjában olvasható.
A titkosítócsomagok elavulásával kapcsolatos információkat a Power Platform fontos változtatásai című dokumentációjában közöljük.
Miért támogatja a Power Pages továbbra is az RSA-CBC titkosítási elemeket (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) és TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), amelyek gyengébbnek minősülnek?
A Microsoft az ügyfélműveletekre gyakorolt relatív kockázatot és zavart is mérlegeli a támogatni kívánt titkosítócsomagok kiválasztása során. Az RSA-CBC titkosítócsomagokat még nem törték fel. Azért engedélyeztük őket, hogy biztosítsuk a következetességet a szolgáltatások és a termékek között, valamint hogy támogatást biztosíthassunk az összes ügyfélkonfigurációnak. Ezek azonban a prioritási lista alján helyezkednek el.
A titkosítási elemeket elavulttá tesszük, a Microsoft Crypto Board folyamatos értékelése alapján.
További információ: Melyek a Power Pages által támogatott TLS 1.2 titkosítócsomagok?
A Power Pages a Microsoft Azure-on alapszik és Azure DDoS Protectiont használ a DDoS-támadásokkal szembeni védelemhez. Ezenkívül az OOB/harmadik féltől származó AFD/WAF engedélyezése további védelmet nyújthat a webhelyen.
További információ:
A behatolási tesztjelentésem a CKEditorban biztonsági rést jelez. Hogyan csökkenthető ez a biztonsági rés?
Az RTE PCF vezérlés hamarosan felváltja a CKEditort. Ha az RTE PCF-vezérlő kiadása előtt szeretné enyhíteni ezt a problémát, tiltsa le a CKEditor-t a DisableCkEditorBundle = true webhelybeállítás konfigurálásával. A szövegmező lecseréli a CKEditort, amint azt letiltják.
Javasoljuk, hogy végezzen HTML-kódolást a nem megbízható forrásból származó adatok renderelése előtt.
További információ: Elérhető kódolási szűrők.
Alapértelmezés szerint a ASP.Net kérésérvényesítési funkció engedélyezve van az űrlapokon Power Pages a parancsfájlinjektálási támadások megelőzése érdekében. Ha saját űrlapot hoz létre az API használatával, Power Pages számos intézkedést tartalmaz az injekciós támadások megelőzésére.
- Gondoskodjon a megfelelő HTML-tisztításról, amikor webes API-t használó űrlapról vagy bármilyen adatvezérlőből származó felhasználói bevitelt kezel.
- Implementálja a bemeneti és kimeneti tisztítást az összes bemeneti és kimeneti adathoz, mielőtt renderelné őket az oldalon. Ez magában foglalja a liquid/WebAPI-n keresztül lekért vagy ezeken a csatornákon Dataverse keresztül beillesztett/frissített adatokat.
- Ha speciális ellenőrzésekre van szükség az űrlapadatok beszúrása vagy frissítése előtt, írhat beépülő modulokat, amelyek végrehajtják az adatok érvényesítését a kiszolgáló oldalon.
További információ: Power Pages biztonsági tanulmány.