Bagikan melalui

Mengelola kebijakan keamanan konten

  • Artikel

Catatan

Mulai 12 Oktober 2022, portal Power Apps menjadi Power Pages. Informasi selengkapnya: Microsoft Power Pages kini tersedia secara umum (blog)
Kami akan segera memigrasikan dan menggabungkan dokumentasi portal Power Apps dengan dokumentasi Power Pages.

CSP (Kebijakan Keamanan Konten) adalah lapisan keamanan ekstra yang membantu mendeteksi dan mengurangi beberapa jenis ancaman web seperti pencurian data, perusakan situs, atau distribusi malware. CSP menyediakan seperangkat petunjuk kebijakan lengkap yang membantu mengontrol sumber daya yang diizinkan untuk memuat halaman situs. Setiap petunjuk menentukan pembatasan untuk jenis sumber daya yang spesifik.

Bila CSP diaktifkan untuk situs web portal, CSP akan membantu meningkatkan keamanan dengan memblokir sambungan, skrip, font, dan jenis sumber daya lain yang berasal dari sumber yang tidak dikenal atau yang tidak dikenal. CSP dinonaktifkan secara default di portal; namun, banyak situs web yang mungkin memerlukan CSP untuk meningkatkan keamanan lainnya.

Untuk informasi lebih lanjut tentang CSP, buka Referensi Kebijakan Keamanan Konten.

Konfigurasikan CSP

  1. Masuk ke Power Apps.

  2. Pastikan Anda berada di lingkungan tempat portal Anda berada.

  3. Di panel kiri, pilih aplikasi, lalu pilih aplikasi Portal Management.

    Pilihan menu Aplikasi untuk Power Apps, dengan aplikasi Portal Management dipilih.

  4. Di panel kiri, pilih Pengaturan Situs.

  5. Buat (atau perbarui) pengaturan situs HTTP/Content-Security-Policy, dan atur nilai yang Anda perlukan dari halaman referensi CSP, dipisahkan oleh titik koma.

    Contoh

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Pilihan menu Pengaturan Situs untuk Power Apps.

Aktifkan nonce

Mengaktifkan nonce (angka digunakan sekali) akan memblokir eksekusi semua skrip inline kecuali yang ditentukan dalam skrip inline. Nonce enkripsi unik dibuat dan ditambahkan ke setiap skrip yang ditentukan pada header CSP. Di portal, nonce mendukung skrip inline dan penanganan aktivitas inline saja. Untuk informasi lebih lanjut tentang nonce, buka Menggunakan nonce dengan CSP.

Untuk mengaktifkan nonce di portal, tambahkan nilai script-src 'nonce'; ke pengaturan situs HTTP/Content-Security-Policy.

Contoh

Jika Anda menginginkan kebijakan yang tegas dan tidak ingin mengizinkan pemuatan skrip dari sumber di luar portal, gunakan yang berikut:

script-src 'self' content.powerapps.com 'nonce'

Jika Anda ingin memuat skrip dari sumber aman mana pun, gunakan yang berikut:

script-src https: 'nonce'

Catatan

  • Bila nonce diaktifkan, unsafe-eval akan secara otomatis disuntikkan untuk mendukung evaluasi otomatis kode tidak aman. Untuk menonaktifkan injeksi otomatis unsafe-eval, perbarui pengaturan situs HTTP/Content-Security-Policy/Inject-unsafe-eval ke false.
  • Jika unsafe-eval dinonaktifkan, validasi bidang yang dihasilkan secara otomatis pada formulir dasar atau lanjutan mungkin tidak lagi berfungsi dengan benar.