Esercitazione: Aggiungere intestazioni di sicurezza con il motore regole
Questa esercitazione illustra come implementare le intestazioni di sicurezza per evitare vulnerabilità basate sul browser come HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy o X-Frame-Options. Gli attributi basati sulla sicurezza possono anche essere definiti con i cookie.
L'esempio seguente illustra come aggiungere un'intestazione Content-Security-Policy a tutte le richieste in ingresso che corrispondono al percorso definito nella route a cui è associata la configurazione del motore regole. In questo caso, nell'applicazione è consentita l'esecuzione di script solo dal sito attendibile https://apiphany.portal.azure-api.net .
In questa esercitazione verranno illustrate le procedure per:
- Configurare un criterio di sicurezza del contenuto all'interno del motore di regole.
Prerequisiti
- Una sottoscrizione di Azure.
- Frontdoor di Azure. Per completare i passaggi in questa esercitazione, è necessario avere un frontdoor configurato con il motore regole. Per altre informazioni, vedere Avvio rapido: Creare un frontdoor e configurare il motore regole.
Aggiungere un'intestazione Content-Security-Policy nel portale di Azure
Nella risorsa Frontdoor selezionare Configurazione motore regole in Impostazioni e quindi selezionare il motore regole a cui si vuole aggiungere l'intestazione di sicurezza.
Selezionare Aggiungi regola per aggiungere una nuova regola. Specificare la regola un nome e quindi selezionare Aggiungiun'intestazione di rispostaazione>.
Impostare l'operatore su Accodamento per aggiungere questa intestazione come risposta a tutte le richieste in ingresso a questa route.
Aggiungere il nome dell'intestazione: Content-Security-Policy e definire i valori che l'intestazione deve accettare, quindi selezionare Salva. In questo scenario si sceglie
script-src 'self' https://apiphany.portal.azure-api.net.
Nota
I valori di intestazione sono limitati a 640 caratteri.
Dopo aver aggiunto tutte le regole desiderate alla configurazione, non dimenticare di passare alla route preferita e associare la configurazione del motore regole alla regola di route. Questo passaggio è obbligatorio per il funzionamento della regola.
Nota
In questo scenario non sono state aggiunte condizioni di corrispondenza alla regola. Questa regola verrà applicata a tutte le richieste in ingresso che corrispondono al percorso definito nella regola di route. Per applicarla solo a un sottoinsieme di queste richieste, aggiungere le condizioni di corrispondenza specifiche alla regola.
Pulire le risorse
Nei passaggi precedenti è stata configurata l'intestazione di sicurezza con il motore regole di Frontdoor. Se non si vuole più la regola, è possibile rimuoverla selezionando Elimina regola all'interno del motore regole.
Passaggi successivi
Per informazioni su come configurare un Web application firewall per Frontdoor, continuare con l'esercitazione successiva.