Esercitazione: Aggiungere intestazioni di sicurezza con il motore regole

Questa esercitazione illustra come implementare le intestazioni di sicurezza per evitare vulnerabilità basate sul browser come HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy o X-Frame-Options. Gli attributi basati sulla sicurezza possono anche essere definiti con i cookie.

L'esempio seguente illustra come aggiungere un'intestazione Content-Security-Policy a tutte le richieste in ingresso che corrispondono al percorso definito nella route a cui è associata la configurazione del motore regole. In questo caso, nell'applicazione è consentita l'esecuzione di script solo dal sito attendibile https://apiphany.portal.azure-api.net .

In questa esercitazione verranno illustrate le procedure per:

  • Configurare un criterio di sicurezza del contenuto all'interno del motore di regole.

Prerequisiti

Aggiungere un'intestazione Content-Security-Policy nel portale di Azure

  1. Nella risorsa Frontdoor selezionare Configurazione motore regole in Impostazioni e quindi selezionare il motore regole a cui si vuole aggiungere l'intestazione di sicurezza.

    Screenshot che mostra la pagina di configurazione del motore regole di Frontdoor di Azure.

  2. Selezionare Aggiungi regola per aggiungere una nuova regola. Specificare la regola un nome e quindi selezionare Aggiungiun'intestazione di rispostaazione>.

  3. Impostare l'operatore su Accodamento per aggiungere questa intestazione come risposta a tutte le richieste in ingresso a questa route.

  4. Aggiungere il nome dell'intestazione: Content-Security-Policy e definire i valori che l'intestazione deve accettare, quindi selezionare Salva. In questo scenario si sceglie script-src 'self' https://apiphany.portal.azure-api.net.

    Screenshot che mostra l'intestazione di sicurezza aggiunta in .

    Nota

    I valori di intestazione sono limitati a 640 caratteri.

  5. Dopo aver aggiunto tutte le regole desiderate alla configurazione, non dimenticare di passare alla route preferita e associare la configurazione del motore regole alla regola di route. Questo passaggio è obbligatorio per il funzionamento della regola.

    Screenshot che mostra come associare una regola di routing.

    Nota

    In questo scenario non sono state aggiunte condizioni di corrispondenza alla regola. Questa regola verrà applicata a tutte le richieste in ingresso che corrispondono al percorso definito nella regola di route. Per applicarla solo a un sottoinsieme di queste richieste, aggiungere le condizioni di corrispondenza specifiche alla regola.

Pulire le risorse

Nei passaggi precedenti è stata configurata l'intestazione di sicurezza con il motore regole di Frontdoor. Se non si vuole più la regola, è possibile rimuoverla selezionando Elimina regola all'interno del motore regole.

Screenshot che mostra come eliminare la regola di sicurezza.

Passaggi successivi

Per informazioni su come configurare un Web application firewall per Frontdoor, continuare con l'esercitazione successiva.