英語で読む 編集

次の方法で共有


Power Pages のセキュリティに関するよくあるご質問

クリックジャッキングに対して、Power Pages はどのように対応していますか?

Clickjacking は、埋め込まれた iFrame やその他のコンポーネントを使用して、ユーザーとウェブページのやり取りをハイジャックします。
Power Pages は、クリックジャッキング攻撃から保護するために、デフォルトの SAMEORIGIN で HTTP/X-Frame-Options サイト設定を提供します。

詳細: Power Pages で HTTP ヘッダーを設定する

Power Pages は、コンテンツ セキュリティ ポリシーをサポートしていますか?

Power Pages はコンテンツ セキュリティ ポリシー (CSP) をサポートしている。 Power Pages Web サイトで CSP を有効にした後、広範なテストを行うことをお勧めします。

詳細については、サイトのコンテンツ セキュリティ ポリシーを管理する を参照してください

Power Pages は HTTP Strict 転送セキュリティ ポリシーをサポートしていますか?

既定では、Power Pages は HTTP から HTTPS へのリダイレクトをサポートします。 フラグが設定されている場合は、リクエストが App Service レベルでブロックされているかどうかを確認します。 リクエストが成功しなかった場合 (応答コード >= 400)、それは誤検知です。

Power Pages はすべての重要なクッキーに HTTPOnly/SameSite フラグを設定します。 HTTPOnly/SameSite が設定されていない重要でない Cookie がいくつかありますが、これらは脆弱性とみなされるべきではありません。

詳細: Power Pages の Cookies

私のペン テスト レポートには、サポート終了/廃止されたソフトウェア – Bootstrap 3 というフラグが付いています。 どうすればよいですか?

Bootstrap 3 には既知の脆弱性はありません。ただし、サイトを Bootstrap 5 に移行することはできます。

Power Pages がサポートしている暗号は何ですか? より強力な暗号に向けて継続的に移行するためのロードマップは何ですか?

すべての Microsoft サービスおよび製品は、Microsoft Crypto Board によって指示された正確な順序で、承認された暗号スイートを使用するように構成されています。

完全なリストと正確な順序については、Power Platform ドキュメンテーション を参照してください。

暗号スイートの廃止に関連する情報は、Power Platform の 重要な変更点 の文書 で通知されます。

なぜ Power Pages は、より弱いとされる RSA-CBC 暗号 (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) と TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) をまだサポートしているのですか?

Microsoft は、サポートする暗号スイートを選択する際に、顧客業務に対するリスクと混乱を検討しています。 RSA-CBC 暗号スイートはまだ破られていません。 サービスと製品全体の一貫性を確保し、すべての顧客構成をサポートできるようにしました。しかし、優先順位は一番下となっています。

Microsoft Crypto Board の継続的な評価に基づき、暗号を非推奨とします。

詳細情報: Power Pages でサポートされている TLS 1.2 暗号スイートはどれですか?

Power Pages は、分散型サービス拒否 (DDoS) 攻撃からどのように保護していますか?

Power Pages は Microsoft Azure 上に構築され、Azure DDoS Protection を使用して DDoS 攻撃 を防ぎます。 また、OOB/サードパーティ AFD/WAF を有効にすると、サイトの保護を強化できます。

詳細:

私の侵入テスト レポートでは、CKEditor の脆弱性が報告されています。 この脆弱性を軽減するにはどうすればよいですか?

RTE PCF コントロールは間もなく CKEditor に置き換わります。 RTE PCF コントロールのリリース前にこの問題を軽減するには、サイト設定 DisableCkEditorBundle = true を構成して CKEditor を無効にします。 CKEditor が無効になると、テキスト フィールドが代わりに使用されます。

XSS 攻 撃から Web サイトを保護するにはどうすればよいですか?

信頼できないソースからのデータをレンダリングする前に、HTML エンコードを実行することをお勧めします。

詳しくは、利用可能なエンコードフィルター を参照してください。

インジェクション攻撃からサイトを保護するにはどうすればよいですか?

デフォルトでは、スクリプト インジェクション攻撃を防ぐために、ASP.Net リクエスト検証 機能が Power Pages フォームで有効になっています。 API を使用して独自のフォームを作成している場合は、Power Pages インジェクション攻撃を防ぐためにいくつかの対策を組み込んでください。

  • Web API を利用するフォームまたはデータ コントロールからのユーザー入力を処理するときは、HTML を適切にサニタイズしてください。
  • ページ上にレンダリングする前に、すべての入出力データに対して入出力サニタイズを実装します。 これには、Liquid/WebAPI 経由で取得されたデータ、またはこれらのチャネルを通じて Dataverse に挿入/更新されたデータが含まれます。
  • フォーム データを挿入または更新する前に特別なチェックが必要な場合は、サーバー側でデータを検証するために実行するプラグインを作成できます。

詳細: Power Pages セキュリティのホワイト ペーパー