次の方法で共有

コンテンツ セキュリティ ポリシーの管理

  • [アーティクル]

注意

2022 年 10 月 12 日より、Power Apps ポータルは Power Pages となります。 詳細: Microsoft Power Pages の一般提供が開始されました (ブログ)
Power Apps ポータルのドキュメントは、近日中に Power Pages ドキュメントに移行、統合されます。

コンテンツ セキュリティ ポリシー (CSP) は、データの盗難、サイトの改ざん、マルウェアの配布など、ある種の Web 攻撃を検知して軽減するのに役立つ追加のセキュリティ レイヤーです。 CSP は、サイト ページに読み込むことができるリソースを制御するのに役立つ、広範なポリシー ディレクティブのセットを提供します。 各ディレクティブは、特定のタイプのリソースに対する制限を定義します。

ポータル Web サイトの CSP を有効にすると、接続、スクリプト、フォント、および未知または悪意のあるソースから発生したその他の種類のリソースをブロックすることによって、セキュリティを強化できます。 ポータルでは、CSP はデフォルトでオフになっていまが、多くの Web サイトでは、他のセキュリティを強化するために CSP が必要な場合があります。

CSP の詳細については、コンテンツ セキュリティ ポリシーの参照情報 を参照してください。

CSP の構成

  1. Power Apps にサインインします。

  2. ポータルが存在する適切な環境にいることを確認してください。

  3. 左ペインで アプリ を選択して、ポータル管理 アプリ を探します。

    ポータル管理アプリが選択されている Power Apps のアプリ メニュー オプション。

  4. 左側ペインのサイトで、サイト設定を選択します。

  5. HTTP/Content-Security-Policy サイト設定を作成または更新し、CSP リファレンス ページに記載されている必要な値をセミコロンで区切って設定します。

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Power Apps のサイト設定メニュー オプション。

Nonce を有効にする

nonce (1 回だけ使用する番号) を有効にすると、インライン スクリプト内で特定されたものを除き、すべてのインライン スクリプトの実行がブロックされます。 一意の暗号 Nonce が生成され、CSP ヘッダーで特定された各スクリプトに追加されます。 ポータルでは、Nonce はインライン スクリプトとインライン イベント ハンドラーのみをサポートします。 Nonce の詳細については、CSP で Nonce を使用する を参照してください。

ポータルで Nonce を有効にするには、script-src 'nonce'; 値を HTTP/Content-Security-Policy サイト設定に追加します。

厳格なポリシーが必要で、ポータル外のソースからのスクリプトの読み込みを許可しない場合、以下を使用します:

script-src 'self' content.powerapps.com 'nonce'

安全なソースからスクリプトを読み込む場合、以下を使用します:

script-src https: 'nonce'

注意

  • nonce を有効にすると、unsafe-eval は自動的に挿入され、安全でないコードの自動評価をサポートします。 unsafe-eval の自動挿入を無効にするには、サイト設定 HTTP/Content-Security-Policy/Inject-unsafe-evalfalse に追加/更新します。
  • unsafe-eval 挿入を無効にすると、基本 および 詳細フォームで自動生成されたフィールド検証が正しく機能しなくなる可能性があります。