Кеңейтілген параметрлер (алдын ала қарау нұсқасы)
[Бұл тақырып шығарылым алдындағы құжаттама болып табылады және өзгертілуі мүмкін.]
Қауіпсіздік жұмыс кеңістігі сайт мазмұны мен деректерін тікелей Power Pages дизайн студиясынан қауіпсіздік қауіптерінен әрі қарай қорғауға мүмкіндік береді. Сайтыңыздың HTTP тақырыптарын жылдам және тиімді конфигурациялау, мазмұн қауіпсіздігі саясаты (CSP), Cross Origin Resource Sharing (CORS), cookie файлдарын, рұқсаттарды және т.б. конфигурациялау үшін Кеңейтілген параметрлерді пайдаланыңыз.
Маңызды
- Бұл алдын ала қарау мүмкіндігі болып табылады.
- Алдын ала қарау мүмкіндіктері өндірісті пайдалану үшін арналмаған және функционалдық шектеулі болуы мүмкін. Бұл мүмкіндіктер ресми жарияланудан бұрын қолжетімді, сондықтан тұтынушылар ерте қатынаса алады және кері байланыс бере алады.
- Power Pagesжүйесіне кіріп, өңдеу үшін сайтыңызды ашыңыз.
- Сол жақ шарлаудан Қауіпсіздік жұмыс кеңістігі , одан кейін Қосымша параметрлерді (алдын ала қарау нұсқасы) таңдаңыз.
мазмұн қауіпсіздігі саясаты (CSP) конфигурациялау
мазмұн қауіпсіздігі саясаты (CSP) веб-бетке қауіпсіздік ережелерінің жинағын орындау үшін веб-серверлермен пайдаланылады. Ол сайттарды торап аралық сценарий (XSS), деректерді енгізу және басқа кодты енгізу шабуылдары сияқты қауіпсіздік шабуылдарының әртүрлі түрлерінен қорғауға көмектеседі.
Директивалар
Келесі директиваларға қолдау көрсетіледі.
| Директива | Сипаттама |
|---|---|
| Әдепкі көз | Басқа директивалармен анық анықталмаған мазмұн үшін әдепкі көзді көрсетеді. Ол басқа директивалар үшін резерв ретінде әрекет етеді. |
| Кескін көзі | Суреттер үшін жарамды көздерді көрсетеді. Кескіндерді жүктеуге болатын домендерді басқарады. |
| Қаріп көзі | Қаріптер үшін жарамды көздерді көрсетеді. Веб-қаріптерді жүктеуге болатын домендерді басқару үшін пайдаланылады. |
| Сценарий көзі | JavaScript коды үшін жарамды көздерді көрсетеді. Сценарий көзі нақты домендерді, бір шығу тегі үшін «өзін», кірістірілген сценарийлер үшін «қауіпті-inline» және нақты nonce бар сценарийлер үшін «nonce-xyz» қамтуы мүмкін. Nonce қосу немесе қауіпті бағалауды енгізу үшін таңдаңыз. Толығырақ ақпаратты Сайтыңыздың мазмұн қауіпсіздігі саясаты басқаруы: Бір рет қосу |
| Стиль көзі | Мәнер кестелері үшін жарамды көздерді көрсетеді. Script-src сияқты, ол домендерді, "өзіндік", "қауіпті-inline" және "nonce-xyz" қамтуы мүмкін. |
| Қосылу көзі | XMLHttpRequest, WebSocket немесе EventSource үшін жарамды көздерді көрсетеді. Бет желілік сұраулар жасай алатын домендерді басқарады. |
| Медиа көзі | Аудио және бейне үшін жарамды көздерді көрсетеді. Медиа ресурстарды жүктеуге болатын домендерді басқару үшін пайдаланылады. |
| Жақтау көзі | Фреймдер үшін жарамды көздерді көрсетеді. Бет жақтауларды ендіре алатын домендерді басқарады. |
| Фрейм ата-бабалары | Ағымдағы бетті жақтау ретінде ендіре алатын жарамды көздерді көрсетеді. Бетті ендіруге рұқсат етілген домендерді басқарады. |
| Пішін әрекеті | Пішін жіберулері үшін жарамды көздерді көрсетеді. Пішін деректерін жіберуге болатын домендерді анықтайды. |
| Нысан көзі | Flash файлдары немесе басқа ендірілген нысандар сияқты нысан элементінің ресурстары үшін жарамды көздерді көрсетеді. Бұл нысандарды қай жерден жүктеуге болатынын басқаруға көмектеседі. |
| Жұмысшы көзі | Веб жұмысшылары үшін жарамды көздерді көрсетеді, соның ішінде арнайы жұмысшылар, ортақ жұмысшылар және қызмет көрсету қызметкерлері. Ол осы жұмыс сценарийлерін қай жерден жүктеп, орындауға болатынын басқаруға көмектеседі. |
| Манифест көзі | Веб жұмысшылары үшін жарамды көздерді көрсетеді, соның ішінде арнайы жұмысшылар, ортақ жұмысшылар және қызмет көрсету қызметкерлері. Ол осы жұмыс сценарийлерін қай жерден жүктеп, орындауға болатынын басқаруға көмектеседі. |
| Еншілес көз | Веб жұмысшылары үшін жарамды көздерді көрсетеді, соның ішінде арнайы жұмысшылар, ортақ жұмысшылар және қызмет көрсету қызметкерлері. Ол осы жұмыс сценарийлерін қай жерден жүктеп, орындауға болатынын басқаруға көмектеседі. |
Әрбір директива үшін арнайы URL мекенжайын, барлық домендерді немесе ешқайсысын таңдауға болады.
Жетілдірілген конфигурация үшін Сайтыңыздың мазмұн қауіпсіздігі саясаты басқаруы: Сайтыңыздың CSP параметрін орнатыңыз.
Түпнұсқалар арасындағы ресурстарды ортақ пайдалануды (CORS) теңшеу
Cross-Origin Resource Sharing (CORS) бір доменде жұмыс істейтін веб-бағдарламаларға басқа доменнен ресурстарды сұрауға және оған қол жеткізуге рұқсат беру немесе шектеу үшін веб-шолғыштармен пайдаланылады.
Директивалар
Келесі директиваларға қолдау көрсетіледі.
| Директива | Сипаттама | Құндылықтар |
|---|---|---|
| Ресурстарға серверден қол жеткізуге рұқсат ету | Қатынас-Басқару-Рұқсат ету-Шығу ретінде де белгілі, серверге оның ресурстарына қол жеткізуге рұқсат етілген бастауларды шешуге көмектеседі. Түпнұсқалар домендер, протоколдар және порттар болуы мүмкін. | Домен URL мекенжайларын таңдаңыз |
| Тақырыптарды сервер сұраулары кезінде жіберу | Сондай-ақ "Access-Control-Allow-Headers" тақырыбы ретінде белгілі, сервердегі ресурстарға қол жеткізу үшін басқа көзден сұрауларға жіберілетін тақырыптарды анықтауға көмектеседі. | Келесі рұқсаттары бар арнайы тақырыптарды таңдаңыз Түпнұсқа Қабылдау Рұқсат ету Мазмұн – түрі |
| Клиенттік кодта тақырып мәндерін көрсету | Access-Control-Expose-Headers деп те белгілі, бұл директива шолғышқа жауап тақырыптарын ашуға және кросс-оригиналды сұраулардағы сұрау салушы клиенттік кодқа қолжетімді етуге нұсқау береді. | Келесі рұқсаттары бар арнайы тақырыптарды таңдаңыз Түпнұсқа Қабылдау Рұқсат ету Мазмұн – түрі |
| Ресурстарға қол жеткізу әдістерін анықтау | Қатынас-Басқару-Рұқсат ету-Әдістері ретінде де белгілі, сервердегі ресурстарға басқа жерден қатынасу кезінде рұқсат етілген HTTP әдістерін анықтауға көмектеседі. | GET - Көрсетілген ресурстан деректерді сұрайды POST - Деректерді көрсетілген ресурсқа өңдеуге жібереді PUT - белгілі бір URL мекенжайындағы ресурсты жаңартады немесе ауыстырады HEAD -GET сияқты, бірақ нақты мазмұнды емес, тек тақырыптарды шығарады PATCH - Ресурсты ішінара өзгертеді OPTIONS - Ресурс немесе сервер үшін қолжетімді байланыс опциялары туралы ақпаратты сұрайды ЖОЮ - көрсетілген ресурсты жояды |
| Сұрау нәтижелерін кэштеу ұзақтығын көрсету | Сондай-ақ "Access-Control-Max-Age" ретінде белгілі, ұшу алдындағы сұрау нәтижелері браузер арқылы кэштелетін ұзақтықты анықтауға көмектеседі. | Ұзақтықты уақытпен көрсетіңіз (секундтар) |
| Сайтқа тіркелгі деректерін ортақ пайдалануға рұқсат ету | Сондай-ақ "Access-Control-Allow-Credentials" тақырыбы ретінде белгілі, сайттың cookie файлдары, авторизация тақырыптары немесе клиенттік SSL протокол куәліктері сияқты тіркелгі деректерін бастапқы көздер арасындағы сұраулар кезінде ортақ пайдалану мүмкіндігін анықтауға көмектеседі. | Иә/Жоқ |
| Веб-бетті бір бастапқы көзден iFrame ретінде көрсету | Сондай-ақ "X-Frame-Options" тақырыбы ретінде белгілі, егер сұрау бір бастаудан келсе ғана бетті iFrame ішінде көрсетуге мүмкіндік береді. | Иә/Жоқ |
| MIME сниффингін бұғаттау | Сондай-ақ "X-Content-Type-Options: no-sniff" ретінде белгілі бұл веб-браузерлердің MIME түріндегі (мазмұн түрі) сниффингті немесе ресурстың мазмұн түрін болжауын орындауға жол бермеуге көмектеседі. | Иә/Жоқ |
Cookie файлдарын конфигурациялау (CSP)
HTTP сұрауындағы Cookie тақырыбы браузеріңізде веб-сайтта бұрын сақталған cookie файлдары туралы ақпаратты қамтиды. Веб-сайтқа кірген кезде браузеріңіз сол сайтпен байланысты барлық сәйкес cookie файлдары бар Cookie тақырыбын серверге жібереді.
Директивалар
Келесі директиваларға қолдау көрсетіледі.
| Директива | Сипаттама | Тақырып |
|---|---|---|
| Барлық cookie файлын тасымалдау ережелері | Сookie файлдарының өзара шығу сұрауларымен қалай жіберілетінін басқарыңыз. Бұл тораптар аралық сұрауды жалған жасаудың (CSRF) және ақпараттың ағып кетуіне шабуылдардың белгілі бір түрлерін азайтуға бағытталған қауіпсіздік мүмкіндігі. | Бұл параметр SameSite/Default тақырыбына сәйкес келеді. |
| Арнайы cookie файлдарын тасымалдау ережелері | Сookie файлдарының өзара шығу сұрауларымен қалай жіберілетінін басқарыңыз. Бұл тораптар аралық сұрауды жалған жасаудың (CSRF) және ақпараттың ағып кетуіне шабуылдардың белгілі бір түрлерін азайтуға бағытталған қауіпсіздік мүмкіндігі. | Бұл параметр SameSite/Specific cookie тақырыбына сәйкес келеді. |
Рұқсаттар саясатын конфигурациялау (CSP)
Рұқсаттар-Саясат тақырыбы веб-әзірлеушілерге веб-бетте қандай веб-платформа мүмкіндіктеріне рұқсат етілгенін немесе тыйым салынғанын басқаруға мүмкіндік береді.
Директивалар
Келесі директиваларға қолдау көрсетіледі және олардың сәйкес API интерфейстеріне қол жеткізуді басқарады.
- Accelerometer
- Ambient-Light-Sensor
- Автоматты ойнату
- Battery
- Camera
- Дисплей
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Микрофон
- Midi
- Otp-Credentials
- Төлем
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Қосымша HTTP тақырыптарын конфигурациялаңыз
HTTPS арқылы қауіпсіз қосылуға рұқсат беріңіз
HTTP Strict-Transport-Security тақырыбына сәйкес параметр браузерге ол тек HTTPS арқылы веб-сайтқа қосылу керек екенін хабарлайды, тіпті егер пайдаланушы «http:// мекенжай жолағында ". Ол сервермен барлық байланыстың шифрланғанын және протоколды төмендету шабуылдары мен cookie файлдарын ұрлау сияқты белгілі бір шабуыл түрінен қорғауды қамтамасыз ету арқылы ортадағы адам шабуылдарының алдын алуға көмектеседі.
Ескертпе
Қауіпсіздік мақсатында бұл параметрді өзгерту мүмкін емес.
HTTP тақырыптарына сілтеме жасау туралы ақпаратты қосыңыз
Referrer-Policy HTTP тақырыбы пайдаланушы бір беттен екіншісіне шарлаған кезде сұраудың шығу тегі туралы ақпараттың (сілтемеші ақпараты) HTTP тақырыптарында қаншалықты ашылатынын бақылау үшін пайдаланылады. Бұл тақырып сілтеме ақпаратына қатысты құпиялылық пен қауіпсіздік аспектілерін басқаруға көмектеседі.
| Мән | Сипаттама |
|---|---|
| Сілтеме жасаушы жоқ | No-referrer тақырыптарда сілтеме жасау туралы ақпарат жіберілмейтінін білдіреді. Бұл параметр құпиялылықты ескеретін опция болып табылады. |
| Бұрынырақ шыққан нұсқаны пайдалануға ауысу кезінде сілтеме жасаушы жоқ | Ол HTTPS торабынан HTTP сайтына шарлау кезінде толық сілтеме ақпаратын жібереді, бірақ HTTPS сайттары арасында шарлау кезінде тек бастапқы (жол немесе сұрау жоқ) жібереді. |
| Түпнұсқасы бірдей - Реферер-саясат | Түпнұсқасы бірдей толық сілтеме жасаушы ақпаратты сұрау бір бастауға келгенде ғана жібереді. Кросс-оригиналды сұраулар үшін тек түпнұсқа жіберіледі. |
| Бастапқы | Түпнұсқа сілтеме жасаушының бастапқы деректемесін жібереді, бірақ бір шыққан және кросс-шығу сұраулары үшін жол немесе сұрау ақпараты жоқ. |
| Қатаң шығу тегі | Шығу тегіне ұқсас, бірақ тек шығу тегі бірдей сұраулар үшін сілтеме ақпаратын жібереді. |
| Бастапқы көздер арасындағы көз | Шығу тегіне ұқсас, бірақ тек шығу тегі бірдей сұраулар үшін сілтеме ақпаратын жібереді. |