Pengaturan tingkat lanjut (pratinjau)
[topik ini adalah dokumentasi prarilis dan dapat berubah sewaktu-waktu.]
Ruang kerja Keamanan memungkinkan Anda untuk lebih lindungi konten dan data situs Anda dari ancaman keamanan, langsung dari Power Pages studio desain. Gunakan pengaturan Tingkat Lanjut untuk mengonfigurasi header HTTP situs Anda dengan cepat dan efisien, mengonfigurasi kebijakan keamanan konten (CSP), Cross Origin Resource Sharing (CORS), cookie, izin, dan lainnya.
Penting
- Ini adalah fitur pratinjau.
- Fitur pratinjau tidak dibuat untuk penggunaan produksi dan mungkin memiliki fungsionalitas yang dibatasi. Fitur ini tersedia sebelum rilis resmi agar pelanggan bisa memperoleh akses awal dan memberikan tanggapan.
- Masuk ke Power Pages, dan buka situs Anda untuk diedit.
- Pilih Ruang Kerja Keamanan dari navigasi kiri, lalu, pilih Pengaturan tingkat lanjut (pratinjau).
Mengonfigurasi kebijakan keamanan konten (CSP)
Kebijakan keamanan konten (CSP) digunakan oleh server web untuk menerapkan seperangkat aturan keamanan untuk halaman web. Ini membantu lindungi situs dari berbagai jenis serangan keamanan seperti cross-site scripting (XSS), injeksi data, dan serangan injeksi kode lainnya.
Arahan
Arahan berikut didukung.
| Direktif | KETERANGAN |
|---|---|
| Sumber default | Menentukan sumber default untuk konten yang tidak secara eksplisit ditentukan oleh arahan lain. Ini bertindak sebagai fallback untuk arahan lain. |
| Sumber gambar | Menentukan sumber yang valid untuk gambar. Mengontrol domain dari mana gambar dapat dimuat. |
| Sumber font | Menentukan sumber font yang valid. Digunakan untuk mengontrol domain dari mana font web dapat dimuat. |
| Sumber skrip | Menentukan sumber yang valid untuk kode JavaScript. Sumber skrip dapat mencakup domain tertentu, 'self' untuk asal yang sama, 'unsafe-inline' untuk skrip inline, dan 'nonce-xyz' untuk skrip dengan nonce tertentu. Pilih untuk mengaktifkan nonce atau menyuntikkan eval yang tidak aman. Pelajari lebih lanjut di Mengelola kebijakan keamanan konten situs Anda: Aktifkan nonce |
| Sumber gaya | Menentukan sumber yang valid untuk stylesheet. Mirip dengan script-src, ini dapat mencakup domain, 'self', 'unsafe-inline', dan 'nonce-xyz'. |
| Sumber koneksi | Menentukan sumber yang valid untuk XMLHttpRequest, WebSocket, atau EventSource. Mengontrol domain tempat halaman dapat membuat permintaan jaringan. |
| Sumber media | Menentukan sumber yang valid untuk audio dan video. Digunakan untuk mengontrol domain dari mana sumber daya media dapat dimuat. |
| Sumber bingkai | Menentukan sumber yang valid untuk frame. Mengontrol domain tempat halaman dapat menyematkan bingkai. |
| Bingkai Leluhur | Menentukan sumber valid yang dapat menyematkan halaman saat ini sebagai bingkai. Mengontrol domain mana yang diizinkan untuk menyematkan halaman. |
| Bentuk Tindakan | Menentukan sumber yang valid untuk pengiriman formulir. Menentukan domain tempat data formulir dapat dikirim. |
| Sumber objek | Menentukan sumber yang valid untuk sumber daya elemen objek, seperti file Flash atau objek tertanam lainnya. Ini membantu mengontrol dari mana asal-usul benda-benda ini dapat dimuat. |
| Sumber pekerja | Menentukan sumber yang valid untuk pekerja web, termasuk pekerja khusus, pekerja bersama, dan pekerja layanan. Ini membantu mengontrol dari asal mana skrip pekerja ini dapat dimuat dan dieksekusi. |
| Sumber manifes | Menentukan sumber yang valid untuk pekerja web, termasuk pekerja khusus, pekerja bersama, dan pekerja layanan. Ini membantu mengontrol dari asal mana skrip pekerja ini dapat dimuat dan dieksekusi. |
| Sumber turunan | Menentukan sumber yang valid untuk pekerja web, termasuk pekerja khusus, pekerja bersama, dan pekerja layanan. Ini membantu mengontrol dari asal mana skrip pekerja ini dapat dimuat dan dieksekusi. |
Untuk setiap arahan, Anda dapat memilih URL tertentu, semua domain, atau tidak sama sekali.
Untuk konfigurasi lanjutan, buka Mengelola kebijakan keamanan konten situs Anda: Menyetel CSP situs Anda.
Mengonfigurasi Berbagi Sumber Daya Lintas Asal (CORS)
Cross-Origin Resource Sharing (CORS) digunakan oleh browser web untuk mengizinkan atau membatasi aplikasi web yang berjalan di satu domain untuk meminta dan mengakses sumber daya dari domain lain.
Arahan
Arahan berikut didukung.
| Direktif | KETERANGAN | Nilai |
|---|---|---|
| Izinkan akses sumber daya dari server | Juga dikenal sebagai Access-Control-Allow-Origin, membantu server memutuskan asal mana yang diizinkan untuk mengakses sumber dayanya. Asal dapat berupa domain, protokol, dan port. | Pilih URL domain |
| Kirim header dalam permintaan server | Juga dikenal sebagai Access-Control-Allow-Headers, membantu menentukan header yang dapat dikirim dalam permintaan dari sumber yang berbeda untuk mengakses sumber daya di server. | Pilih header tertentu dengan izin berikut: Asal Terima Konten Otorisasi – ketik |
| Ekspos nilai header di kode sisi klien | Juga dikenal sebagai Access-Control-Expose-Headers, direktif ini menginstruksikan browser di mana header respons harus diekspos dan dapat diakses oleh kode sisi klien yang meminta dalam permintaan lintas asal. | Pilih header tertentu dengan izin berikut: Asal Terima Konten Otorisasi – ketik |
| Tentukan metode untuk mengakses sumber daya | Juga dikenal sebagai Access-Control-Allow-Methods, membantu menentukan metode HTTP mana yang diizinkan saat mengakses sumber daya di server dari asal yang berbeda. | GET - Meminta data dari sumber daya tertentu POST - Mengirimkan data untuk diproses ke sumber daya tertentu PUT - Memperbarui atau mengganti sumber daya di URL tertentu HEAD -Sama seperti GET tetapi hanya mengambil header dan bukan konten yang sebenarnya PATCH - Sebagian memodifikasi sumber daya OPTIONS - Meminta informasi tentang opsi komunikasi yang tersedia untuk sumber daya atau server DELETE - Menghapus sumber daya yang ditentukan |
| Tentukan durasi penyimpanan hasil permintaan dalam cache | Juga dikenal sebagai Access-Control-Max-Age, membantu menentukan durasi hasil permintaan preflight yang dapat di-cache oleh browser. | Tentukan durasi dalam waktu (detik) |
| Izinkan situs untuk berbagi kredensial | Juga dikenal sebagai Access-Control-Allow-Credentials, membantu menentukan apakah situs dapat membagikan kredensial seperti cookie, header otorisasi, atau sertifikat SSL sisi klien selama permintaan lintas-asal. | Ya/Tidak |
| Tampilkan halaman web sebagai iFrame dari asal yang sama | Juga dikenal sebagai X-Frame-Options, mengizinkan halaman ditampilkan dalam iFrame hanya jika permintaan berasal dari sumber yang sama. | Ya/Tidak |
| Blokir pengendusan MIME | Juga dikenal sebagai X-Content-Type-Options: no-sniff, ini membantu mencegah browser web melakukan sniffing jenis MIME (jenis konten) atau menebak jenis konten sumber daya. | Ya/Tidak |
Mengonfigurasi cookie (CSP)
Header Cookie dalam permintaan HTTP berisi informasi tentang cookie yang sebelumnya disimpan oleh situs web di browser Anda. Saat Anda mengunjungi situs web, browser Anda mengirimkan header Cookie yang berisi semua cookie relevan yang terkait dengan situs tersebut kembali ke server.
Arahan
Arahan berikut didukung.
| Direktif | KETERANGAN | Header |
|---|---|---|
| Aturan transfer untuk semua cookie | Kontrol bagaimana cookie dikirim dengan permintaan lintas asal. Ini adalah fitur keamanan yang ditujukan untuk mengurangi jenis pemalsuan permintaan lintas situs (CSRF) dan serangan kebocoran informasi tertentu. | Pengaturan ini sesuai dengan header SameSite/Default. |
| Aturan transfer untuk cookie tertentu | Kontrol bagaimana cookie dikirim dengan permintaan lintas asal. Ini adalah fitur keamanan yang ditujukan untuk mengurangi jenis pemalsuan permintaan lintas situs (CSRF) dan serangan kebocoran informasi tertentu. | Pengaturan ini sesuai dengan header SameSite/Specific cookie. |
Mengonfigurasi Permissions-Policy (CSP)
Header Permissions-Policy memungkinkan pengembang web untuk mengontrol fitur platform web mana yang diizinkan atau ditolak di halaman web.
Arahan
Arahan berikut didukung dan mengontrol akses ke API masing-masing.
- Accelerometer
- Ambient-Light-Sensor
- Putar otomatis
- Battery
- Camera
- Tampilan
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Pembayaran
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Mengonfigurasi lebih banyak Header HTTP
Izinkan koneksi aman melalui HTTPS
Pengaturan yang sesuai dengan header HTTP Strict-Transport-Security memberi tahu browser bahwa itu hanya boleh terhubung ke situs web melalui HTTPS, bahkan jika pengguna memasukkan "http://" di bilah alamat. Ini membantu mencegah serangan man-in-the-middle dengan memastikan bahwa semua komunikasi dengan server dienkripsi dan lindungi terhadap jenis serangan tertentu, seperti serangan downgrade protokol dan pembajakan cookie.
Catatan
Untuk alasan keamanan, pengaturan ini tidak dapat diubah.
Menyertakan informasi perujuk di header HTTP
Header HTTP Referrer-Policy digunakan untuk mengontrol berapa banyak informasi tentang asal permintaan (informasi perujuk) diungkapkan di header HTTP ketika pengguna menavigasi dari satu halaman ke halaman lainnya. Header ini membantu mengontrol aspek privasi dan keamanan yang terkait dengan informasi perujuk.
| Nilai | KETERANGAN |
|---|---|
| Tanpa referen | No-referrer berarti bahwa tidak ada informasi referrer yang dikirim di header. Pengaturan ini adalah opsi yang paling sadar privasi. |
| Tidak Ada Referen Saat Turun Tingkat | Ini mengirimkan informasi perujuk lengkap saat menavigasi dari HTTPS ke situs HTTP tetapi hanya asal (tidak ada jalur atau kueri) saat menavigasi antara situs HTTPS. |
| Asal yang sama - Kebijakan Perujuk | Same-origin mengirimkan informasi perujuk lengkap hanya jika permintaan berasal dari asal yang sama. Untuk permintaan lintas asal, hanya asal yang dikirim. |
| Asal | Asal mengirimkan asal perujuk, tetapi tidak ada jalur atau informasi kueri, baik untuk permintaan asal yang sama maupun lintas asal. |
| Asal Ketat | Mirip dengan asal, tetapi hanya mengirimkan informasi referen untuk permintaan dengan asal yang sama. |
| Asal Saat Lintas Asal | Mirip dengan asal, tetapi hanya mengirimkan informasi referen untuk permintaan dengan asal yang sama. |