Olvasás angol nyelven Szerkesztés

Megosztás a következőn keresztül:


A Power Pages biztonsága – GYIK

Hogyan segít a Power Pages a kattintáseltérítési támadásokkal szembeni védelemben?

A kattintáseltérítés beágyazott iFrame-eket használ vagy más összetevőkkel téríti el a felhasználó és a weboldal közti interakciókat.
Power Pages HTTP/X-Frame-Options webhelybeállításokat biztosít az alapértelmezett SAMEORIGIN használatával a clickjacking támadások elleni védelem érdekében.

További információ: HTTP-fejlécek beállítása a Power Pages szolgáltatásban

A Power Pages támogatja a tartalomra vonatkozó biztonsági házirendeket?

A Power Pages támogatja a tartalomra vonatkozó biztonsági házirendet (CSP). A felhőszolgáltató Power Pages webhelyeken való engedélyezése után ajánlott széles körű tesztelést végezni.

További információ: A webhely tartalombiztonsági irányelveinek kezelése

A Power Pages támogatja a HTTP adatátvitelire vonatkozó szigorú biztonsági szabályzatot?

Alapértelmezés szerint Power Pages támogatja a HTTP–HTTPS átirányításokat. Ha meg van jelölve, ellenőrizze, hogy a kérés blokkolva van-e App Service szinten. Ha a kérés nem sikerült (válaszkód >= 400), akkor vakriasztás volt.

A Power Pages HTTPOnly/SameSite jelzőt állít be minden kritikus cookie-hoz. Vannak olyan nem kritikus cookie-k, amelyekhez nincs beállítva a HTTPOnly/SameSite, és ezek nem számítanak biztonsági résnek.

További információ: Sütik a Power Pages szolgáltatásban

A Pen tesztjelentésem az élettartam végét / elavult szoftvert jelzi - Bootstrap 3. Mit tegyek ellene?

A Bootstrap 3-on nincsenek ismert biztonsági rések; azonban áttelepítheti webhelyét a Bootstrap 5-re.

Milyen titkosítási elemekez támogat a Power Pages? Mi az ütemterv az erősebb rejtjelek felé való folyamatos elmozduláshoz?

Minden Microsoft szolgáltatás és termék úgy van konfigurálva, hogy a jóváhagyott titkosítócsomagokat használja, a Microsoft Crypto Board által meghatározott szigorú sorrendnek megfelelően.

A teljes lista és a pontos sorrend a Power Platform dokumentációjában olvasható.

A titkosítócsomagok elavulásával kapcsolatos információkat a Power Platform fontos változtatásai című dokumentációjában közöljük.

Miért támogatja a Power Pages továbbra is az RSA-CBC titkosítási elemeket (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) és TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), amelyek gyengébbnek minősülnek?

A Microsoft az ügyfélműveletekre gyakorolt relatív kockázatot és zavart is mérlegeli a támogatni kívánt titkosítócsomagok kiválasztása során. Az RSA-CBC titkosítócsomagokat még nem törték fel. Azért engedélyeztük őket, hogy biztosítsuk a következetességet a szolgáltatások és a termékek között, valamint hogy támogatást biztosíthassunk az összes ügyfélkonfigurációnak. Ezek azonban a prioritási lista alján helyezkednek el.

A titkosítási elemeket elavulttá tesszük, a Microsoft Crypto Board folyamatos értékelése alapján.

További információ: Melyek a Power Pages által támogatott TLS 1.2 titkosítócsomagok?

Hogyan védekezik az Power Pages elosztott szolgáltatásmegtagadási (DDoS) támadások ellen?

A Power Pages a Microsoft Azure-on alapszik és Azure DDoS Protectiont használ a DDoS-támadásokkal szembeni védelemhez. Ezenkívül az OOB/harmadik féltől származó AFD/WAF engedélyezése további védelmet nyújthat a webhelyen.

További információ:

A behatolási tesztjelentésem a CKEditorban biztonsági rést jelez. Hogyan csökkenthető ez a biztonsági rés?

Az RTE PCF vezérlés hamarosan felváltja a CKEditort. Ha az RTE PCF-vezérlő kiadása előtt szeretné enyhíteni ezt a problémát, tiltsa le a CKEditor-t a DisableCkEditorBundle = true webhelybeállítás konfigurálásával. A szövegmező lecseréli a CKEditort, amint azt letiltják.

Hogyan védhetem meg webhelyemet az XSS-támadások ellen?

Javasoljuk, hogy végezzen HTML-kódolást a nem megbízható forrásból származó adatok renderelése előtt.

További információ: Elérhető kódolási szűrők.

Hogyan védhetem meg a webhelyemet az injekciós támadásoktól?

Alapértelmezés szerint a ASP.Net kérésérvényesítési funkció engedélyezve van az űrlapokon Power Pages a parancsfájlinjektálási támadások megelőzése érdekében. Ha saját űrlapot hoz létre az API használatával, Power Pages számos intézkedést tartalmaz az injekciós támadások megelőzésére.

  • Gondoskodjon a megfelelő HTML-tisztításról, amikor webes API-t használó űrlapról vagy bármilyen adatvezérlőből származó felhasználói bevitelt kezel.
  • Implementálja a bemeneti és kimeneti tisztítást az összes bemeneti és kimeneti adathoz, mielőtt renderelné őket az oldalon. Ez magában foglalja a liquid/WebAPI-n keresztül lekért vagy ezeken a csatornákon Dataverse keresztül beillesztett/frissített adatokat.
  • Ha speciális ellenőrzésekre van szükség az űrlapadatok beszúrása vagy frissítése előtt, írhat beépülő modulokat, amelyek végrehajtják az adatok érvényesítését a kiszolgáló oldalon.

További információ: Power Pages biztonsági tanulmány.