Clickjacking は、埋め込まれた iFrame やその他のコンポーネントを使用して、ユーザーとウェブページのやり取りをハイジャックします。
Power Pages は、クリックジャッキング攻撃から保護するために、デフォルトの SAMEORIGIN で HTTP/X-Frame-Options サイト設定を提供します。
Power Pages はコンテンツ セキュリティ ポリシー (CSP) をサポートしている。 Power Pages Web サイトで CSP を有効にした後、広範なテストを行うことをお勧めします。
詳細については、サイトのコンテンツ セキュリティ ポリシーを管理する を参照してください
既定では、Power Pages は HTTP から HTTPS へのリダイレクトをサポートします。 フラグが設定されている場合は、リクエストが App Service レベルでブロックされているかどうかを確認します。 リクエストが成功しなかった場合 (応答コード >= 400)、それは誤検知です。
Power Pages はすべての重要なクッキーに HTTPOnly/SameSite フラグを設定します。 HTTPOnly/SameSite が設定されていない重要でない Cookie がいくつかありますが、これらは脆弱性とみなされるべきではありません。
Bootstrap 3 には既知の脆弱性はありません。ただし、サイトを Bootstrap 5 に移行することはできます。
すべての Microsoft サービスおよび製品は、Microsoft Crypto Board によって指示された正確な順序で、承認された暗号スイートを使用するように構成されています。
完全なリストと正確な順序については、Power Platform ドキュメンテーション を参照してください。
暗号スイートの廃止に関連する情報は、Power Platform の 重要な変更点 の文書 で通知されます。
なぜ Power Pages は、より弱いとされる RSA-CBC 暗号 (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) と TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) をまだサポートしているのですか?
Microsoft は、サポートする暗号スイートを選択する際に、顧客業務に対するリスクと混乱を検討しています。 RSA-CBC 暗号スイートはまだ破られていません。 サービスと製品全体の一貫性を確保し、すべての顧客構成をサポートできるようにしました。しかし、優先順位は一番下となっています。
Microsoft Crypto Board の継続的な評価に基づき、暗号を非推奨とします。
Power Pages は Microsoft Azure 上に構築され、Azure DDoS Protection を使用して DDoS 攻撃 を防ぎます。 また、OOB/サードパーティ AFD/WAF を有効にすると、サイトの保護を強化できます。
詳細:
RTE PCF コントロールは間もなく CKEditor に置き換わります。 RTE PCF コントロールのリリース前にこの問題を軽減するには、サイト設定 DisableCkEditorBundle = true を構成して CKEditor を無効にします。 CKEditor が無効になると、テキスト フィールドが代わりに使用されます。
信頼できないソースからのデータをレンダリングする前に、HTML エンコードを実行することをお勧めします。
詳しくは、利用可能なエンコードフィルター を参照してください。
デフォルトでは、スクリプト インジェクション攻撃を防ぐために、ASP.Net リクエスト検証 機能が Power Pages フォームで有効になっています。 API を使用して独自のフォームを作成している場合は、Power Pages インジェクション攻撃を防ぐためにいくつかの対策を組み込んでください。
- Web API を利用するフォームまたはデータ コントロールからのユーザー入力を処理するときは、HTML を適切にサニタイズしてください。
- ページ上にレンダリングする前に、すべての入出力データに対して入出力サニタイズを実装します。 これには、Liquid/WebAPI 経由で取得されたデータ、またはこれらのチャネルを通じて Dataverse に挿入/更新されたデータが含まれます。
- フォーム データを挿入または更新する前に特別なチェックが必要な場合は、サーバー側でデータを検証するために実行するプラグインを作成できます。