Clickjacking utilizza iframe incorporati, tra gli altri componenti, per dirottare le interazioni di un utente con una pagina Web.
Power Pages fornisce le impostazioni del sito HTTP/X-Frame-Options con SAMEORIGIN predefinito per la protezione dagli attacchi di clickjacking.
Per ulteriori informazioni: Configurare le intestazioni HTTP in Power Pages
Power Pages supporta i criteri di sicurezza del contenuto (CSP). Si consiglia di eseguire test approfonditi dopo aver abilitato CSP nei siti Web Power Pages.
Ulteriori informazioni: Gestire i criteri di sicurezza del contenuto del sito
Per impostazione predefinita, Power Pages supporta i reindirizzamenti da HTTP a HTTPS. Se contrassegnato, verifica se la richiesta viene bloccata o meno a livello di servizio app. Se non è una richiesta andata a buon fine (codice di risposta >= 400), è un falso positivo.
Perché i cookie senza flag HTTPOnly/SameSite vengono rilevati/segnalati dagli strumenti di test delle penne?
Power Pages imposta i flag HTTPOnly/SameSite per ogni cookie critico. Esistono alcuni cookie non critici per i quali HTTPOnly/SameSite non è impostato e questi non devono essere considerati una vulnerabilità.
Ulteriori informazioni: Cookie in Power Pages
Il report del test della penna segnala Fine vita/Software obsoleto – Bootstrap 3. Cosa devo fare al riguardo?
Non sono note vulnerabilità su Bootstrap 3; tuttavia, puoi eseguire la migrazione del tuo sito a Bootstrap 5.
Quali crittografie sono supportate da Power Pages? Qual è la roadmap per spostarsi continuamente verso cifrature più forti?
Tutti i servizi e i prodotti Microsoft sono configurati per utilizzare le suite di crittografia approvate, nell'ordine esatto indicato da Microsoft Crypto Board.
Per l'elenco completo e l'ordine esatto, vedi la documentazione di Power Platform.
Le informazioni relative alle deprecazioni delle suite di crittografia sono comunicate tramite la documentazione Modifiche importanti di Power Platform.
Perché Power Pages supporta ancora le crittografie RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), che sono considerate più deboli?
Microsoft valuta il rischio relativo e l'interruzione delle operazioni del cliente nella scelta del supporto delle suite di crittografia. Le suite di crittografia RSA-CBC non sono state ancora interrotte. Abbiamo consentito loro di garantire la coerenza tra i nostri servizi e prodotti e di supportare tutte le configurazioni dei clienti; tuttavia, sono in fondo all'elenco delle priorità.
Deprechiamo queste crittografie in base alla valutazione continua di Microsoft Crypto Board.
Ulteriori informazioni: Quali sono le suite di crittografia TLS 1.2 supportate da Power Pages?
Power Pages è costruito su Microsoft Azure e usa la Protezione DDoS di Azure per proteggersi dagli attacchi DDoS. Inoltre, l'abilitazione di OOB/AFD/WAF di terze parti può aggiungere maggiore protezione al sito.
Ulteriori informazioni:
Il report sul test della penna segnala una vulnerabilità in CKEditor. Come posso mitigare questa vulnerabilità?
Il controllo RTE PCF sostituirà presto CKEditor. Se desideri mitigare questo problema prima del rilascio del controllo RTE PCF, disabilita CKEditor configurando l'impostazione del sito DisableCkEditorBundle = true. Un campo di testo sostituisce CKEditor una volta disabilitato.
Ti consigliamo di eseguire la codifica HTML prima di eseguire il rendering dei dati da un'origine non attendibile.
Ulteriori informazioni: Filtri di codifica disponibili.
Per impostazione predefinita, la funzione ASP.Net convalida della richiesta è abilitata sui moduli Power Pages per prevenire attacchi di script-injection. Se stai creando il tuo modulo utilizzando l'API, Power Pages incorpora diverse misure per prevenire attacchi di injection.
- Garantisci la corretta purificazione HTML durante la gestione dell'input dell'utente da un modulo o qualsiasi controllo dati che utilizza l'API Web.
- Implementa la purificazione di input e output per tutti i dati di input e output prima di eseguire il rendering sulla pagina. Ciò include i dati recuperati tramite liquid/WebAPI o inseriti/aggiornati in Dataverse attraverso questi canali.
- Se sono necessari controlli speciali prima di inserire o aggiornare i dati del modulo, è possibile scrivere plugin che vengano eseguiti per convalidare i dati sul lato server.
Altre informazioni: White paper sulla sicurezza di Power Pages.