Mengonfigurasi header keamanan dengan Seperangkat Aturan Azure Front Door Standar/Premium

Artikel ini memperlihatkan cara menerapkan header keamanan untuk mencegah kerentanan berbasis browser seperti HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, atau X-Frame-Options. Atribut berbasis keamanan juga dapat ditentukan dengan cookie.

Contoh berikut menunjukkan kepada Anda cara menambahkan header Kebijakan Keamanan Konten ke semua permintaan masuk yang cocok dengan jalur di Rute. Di sini, kami hanya mengizinkan skrip dari situs tepercaya kami, https://apiphany.portal.azure-api.net untuk dijalankan di aplikasi kami.

Prasyarat

• Sebelum dapat mengonfigurasi header keamanan, Anda harus terlebih dahulu membuat Front Door. Untuk informasi selengkapnya, lihat Mulai Cepat: Membuat Front Door.
• Tinjau cara Menyiapkan Seperangkat Aturan jika Anda belum menggunakan fitur Seperangkat Aturan sebelumnya.

Menambahkan header Content-Security-Policy di portal Microsoft Azure

1. Buka profil Azure Front Door Standard/Premium dan pilih Seperangkat Aturan di bawah Pengaturan.

2. Pilih Tambahkan untuk menambahkan seperangkat aturan baru. Beri Seperangkat Aturan Nama lalu berikan Nama untuk aturan tersebut. Pilih Tambahkan Tindakan lalu pilih Header Respons.

3. Atur operator ke Tambahkan untuk menambahkan tajuk ini sebagai respons untuk semua permintaan masuk untuk rute ini.

4. Tambahkan nama header: Content-Security-Policy dan tentukan nilai yang akan diterima header ini. Dalam skenario ini, kita memilih "script-src 'self' https://apiphany.portal.azure-api.net".

5. Setelah menambahkan semua aturan yang Anda inginkan ke konfigurasi, jangan lupa untuk mengaitkan seperangkat aturan dengan rute. Langkah ini diperlukan agar seperangkat aturan dapat mengambil tindakan.

Catatan

Dalam skenario ini, kami tidak menambahkan kondisi pencocokan ke aturan. Semua permintaan masuk yang cocok dengan jalur yang ditentukan di rute terkait akan menerapkan aturan ini. Jika Anda menginginkannya untuk hanya diterapkan ke subset permintaan tersebut, pastikan untuk menambahkan kondisi pencocokan tertentu ke aturan ini.

Membersihkan sumber daya

Menghapus Aturan

Dalam langkah-langkah sebelumnya, Anda mengonfigurasi header Content-Security-Policy dengan Seperangkat Aturan. Jika tidak lagi menginginkan aturan, Anda bisa memilih nama Seperangkat Aturan lalu pilih aturan Hapus.

Menghapus Seperangkat Aturan

Jika ingin menghapus Seperangkat Aturan, pastikan Anda memisahkannya dari semua rute sebelum menghapusnya. Untuk panduan mendetail tentang menghapus seperangkat aturan, lihat Mengonfigurasi seperangkat aturan Anda.

Langkah berikutnya

Untuk mempelajari cara mengonfigurasi Web Application Firewall untuk Front Door Anda, lihat Web Application Firewall dan Front Door.