Clickjacking menggunakan iFrame terlekat atau komponen lain untuk menerka interaksi pengguna dengan halaman web.
Power Pages menyediakan pengaturan situs HTTP / X-Frame-Options dengan SAMEORIGIN default untuk melindungi dari serangan clickjacking.
Informasi selengkapnya: Mengonfigurasi header HTTP di Power Pages
Power Pages mendukung Kebijakan Keamanan Konten (CSP). Pengujian luas disarankan setelah mengaktifkan CSP di situs web Power Pages.
Informasi selengkapnya: Mengelola Kebijakan Keamanan Konten situs Anda
Secara default, Power Pages mendukung pengalihan HTTP ke HTTPS. Jika ditandai, verifikasi apakah permintaan diblokir di Tingkat App Service. Jika permintaan tidak berhasil (kode respons >= 400), itu adalah positif palsu.
Power Pages menetapkan bendera HTTPOnly/SameSite untuk setiap cookie penting. Ada beberapa cookie non-penting yang tidak diatur HTTPOnly/SameSite, dan hal ini tidak harus dianggap sebagai kerentanan.
Informasi lebih lanjut: Kuki di Power Pages
Laporan pengujian Pena saya menandai Akhir Masa Pakai/Perangkat Lunak Usang – Bootstrap 3. Apa yang harus saya lakukan?
Tidak ada kerentanan yang diketahui pada Bootstrap 3; namun, Anda dapat memigrasikan situs Anda ke Bootstrap 5.
Sandi apa saja yang didukung Power Pages? Apa peta jalan untuk terus bergerak menuju sandi yang lebih kuat?
Semua layanan dan produk Microsoft dikonfigurasi untuk menggunakan suite sandi yang disetujui, sesuai urutan yang diarahkan oleh Papan Crypto Microsoft.
Untuk daftar lengkap dan urutan yang sama persis, lihat dokumentasi Power Platform.
Informasi tentang deprekasi suite sandi dikomunikasikan melalui dokumentasi Perubahan Penting Power Platform.
Mengapa Power Pages masih mendukung sandi RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) dan TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), yang dianggap lebih lebih lemah?
Microsoft menimbang risiko relatif dan gangguan terhadap operasi pelanggan dalam memilih suite sandi untuk dukungan. Suite sandi RSA-CBC belum rusak. Kami memungkinkan mereka memastikan konsistensi di seluruh layanan dan produk, dan mendukung semua konfigurasi pelanggan; namun, ada di bawah daftar prioritas.
Kami tidak akan menggunakan lagi sandi ini berdasarkan penilaian kontinu Microsoft Crypto Board.
Informasi lebih lanjut: Suite sandi TLS 1.2 mana yang didukung oleh Power Pages?
Power Pages dikembangkan di Microsoft Azure dan menggunakan Azure DDoS Protection untuk melindungi terhadap serangan DDoS. Selain itu, mengaktifkan OOB/AFD/WAF pihak ketiga dapat menambahkan lebih banyak perlindungan di situs.
Informasi selengkapnya:
Laporan pengujian Pena saya menandai kerentanan di CKEditor. Bagaimana cara mengurangi kerentanan ini?
Kontrol RTE PCF segera menggantikan CKEditor. Jika Anda ingin mengurangi masalah ini sebelum rilis kontrol RTE PCF, nonaktifkan CKEditor dengan mengonfigurasi pengaturan situs DisableCkEditorBundle = true. Bidang teks akan menggantikan CKEditor setelah dinonaktifkan.
Sebaiknya lakukan encoding HTML sebelum merender data dari sumber yang tidak tepercaya.
Informasi lebih lanjut: Filter pengkodean yang tersedia.
Secara default, fitur validasi permintaan ASP.Net diaktifkan pada Power Pages formulir untuk mencegah serangan injeksi skrip. Jika Anda membuat formulir Anda sendiri menggunakan API, Power Pages menggabungkan beberapa langkah untuk mencegah serangan injeksi.
- Pastikan sanitasi HTML yang tepat saat menangani input pengguna dari formulir atau kontrol data apa pun yang menggunakan API Web.
- Terapkan sanitasi input dan output untuk semua data input dan output sebelum merendernya di halaman. Ini termasuk data yang diambil melalui liquid/WebAPI atau dimasukkan/diperbarui melalui Dataverse saluran ini.
- Jika pemeriksaan khusus diperlukan sebelum memasukkan atau memperbarui data formulir, Anda dapat menulis plugin yang dijalankan untuk memvalidasi data di sisi server.
Informasi selengkapnya: Power Pages laporan resmi keamanan.