Ағылшын тілінде оқу Өзгерту

Бөлісу құралы:


Power Pages қауіпсіздігі бойынша ЖҚС

Power Pages бағдарламасы кликджекинг қорғауға қалай көмектеседі?

Кликджекинг пайдаланушының веб-бетпен әрекеттестіктерін ұрлау үшін ендірілген iFrames немесе басқа құрамдастарды пайдаланады.
Power Pages клик шабуылдарынан қорғау үшін HTTP/X-Frame-Options сайт параметрлерін әдепкі SAMEORIGIN арқылы қамтамасыз етеді.

Қосымша ақпарат: Power Pages сайтында HTTP тақырыптарын баптау

Power Pages бағдарламасы мазмұн қауіпсіздігі саясатына қолдау көрсете ме?

Power Pages сайтында мазмұн қауіпсіздігі саясатына (CSP) қолдау көрсетіледі. Power Pages веб-сайттарында мазмұн қауіпсіздігі саясатын (CSP) қосқаннан кейін, ауқымды тексеру ұсынылады.

Қосымша ақпарат: Сайтыңыздың мазмұн қауіпсіздігі саясатын басқарыңыз

Power Pages сайтында HTTP қатаң тасымалдау қауіпсіздігі саясатына қолдау көрсетіле ме?

Әдепкі бойынша, Power Pages HTTP-HTTPS қайта бағыттауларын қолдайды. Белгі қойылған болса, қолданба қызметі деңгейінде сұраудың бұғатталып жатқанын тексеріңіз. Сұрау сәтті болмаса (жауап коды >= 400), бұл жалған оң.

Power Pages сайтында әрбір маңызды cookie файлы үшін HTTPOnly/SameSite жалаушалары орнатылады. HTTPOnly/SameSite жалаушасы орнатылмаған кейбір маңызды емес cookie файлдары бар және оларды осал тұс деп есептеуге болмайды.

Қосымша ақпарат: Power Pages сайтындағы cookie файлдары

Менің қалам сынау есебімнің қызмет ету мерзімінің аяқталуы/ескірген бағдарламалық құрал – Bootstrap 3 белгісі бар. Мен бұл туралы не істеуім керек?

Bootstrap 3 жүйесінде белгілі осалдықтар жоқ; дегенмен, сіз сайтыңызды Bootstrap 5 нұсқасына көшіре аласыз.

Power Pages сайтында қандай шифрларға қолдау көрсетіледі? Күшті шифрларға үздіксіз жылжудың жол картасы қандай?

Барлық Microsoft қызметтері мен өнімдері Microsoft Crypto Board басқаратын нақты ретпен бекітілген шифрлар жиынтығын пайдалану үшін конфигурацияланған.

Толық тізім мен нақты ретті Power Platform құжаттамасынан қараңыз.

Шифр жинақтарының ескіруі туралы ақпарат Power Platform жүйесінің маңызды өзгерістер туралы құжаттамасы арқылы беріледі.

Неліктен Power Pages бағдарламасы әлсіз деп саналатын RSA-CBC шифрларына (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) және TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) әлі күнге дейін қолдау көрсетеді?

Microsoft корпорациясы қолдау көрсету үшін шифрлар жиынтығын таңдау кезінде салыстырмалы тәуекелді және тұтынушы операцияларының бұзылуын өлшейді. RSA-CBC шифр жинағы әлі бұзылған жоқ. Біз оларға бүкіл қызметтеріміз бен өнімдеріміздің үйлесімділігін қамтамасыз етуге және барлық тұтынушы конфигурациясына қолдау көрсетуге мүмкіндік бердік; алайда олар басымдылық тізімінің төменгі жағында орналасқан.

Біз шифрларды пайдалануды Microsoft Crypto Board үздіксіз бағалауы негізінде тоқтатамыз.

Қосымша ақпарат: Power Pages сайтында TLS 1.2 шифр жинақтарының қайсысына қолдау көрсетіледі?

Қызмет көрсетуден бас тарту (DDoS) шабуылдарынан Power Pages қалай қорғайды?

Power Pages сайты Microsoft Azure жүйесіне кіріктірілген және DDoS шабуылдарынан қорғау үшін Azure DDoS қорғанысын пайдаланады. Сондай-ақ, OOB/үшінші тарап AFD/WAF қосу торапта көбірек қорғауды қоса алады.

Қосымша ақпарат:

Сырттан енуді тексеру есебім CKEditor құралында осал тұстарды жалаушамен белгілеуде. Бұл осал тұстарды қалай азайтуға болады?

RTE PCF басқаруы жақын арада CKEditor ауыстырады. RTE PCF басқару құралын шығарғанға дейін бұл мәселені азайтқыңыз келсе, DisableCkEditorBundle = true сайт параметрін конфигурациялау арқылы CKEditor қызметін өшіріңіз. CKEditor құралы өшірілгеннен кейін, оны мәтін өрісі алмастырады.

Веб-сайтымды XSS шабуылдарынан қалай қорғаймын?

Сенімсіз көзден деректерді көрсетпес бұрын HTML кодтауын орындауды ұсынамыз.

Қосымша ақпарат: Қолжетімді кодтау сүзгілері.

Сайтты инъекциялық шабуылдардан қалай қорғаймын?

Әдепкі бойынша, сценарийді енгізу шабуылдарын болдырмау үшін пішіндерінде ASP.Net сұрауды тексеру Power Pages мүмкіндігі қосылады. API арқылы өзіңіздің пішініңізді жасасаңыз, Power Pages инъекциялық шабуылдарды болдырмау үшін бірнеше шараларды қамтиды.

  • Пішіннен пайдаланушы енгізуін немесе Web API пайдаланатын кез келген деректерді басқаруды өңдеу кезінде HTML-ның дұрыс санитаризациясын қамтамасыз етіңіз.
  • Барлық кіріс және шығыс деректерін бетте көрсетпес бұрын кіріс және шығыс зарарсыздандыруды орындаңыз. Бұған сұйық/WebAPI арқылы алынған немесе осы арналар арқылы Dataverse ішіне енгізілген/жаңартылған деректер кіреді.
  • Пішін деректерін кірістіру немесе жаңарту алдында арнайы тексерулер қажет болса, сервер жағында деректерді тексеру үшін орындалатын плагиндерді жазуға болады.

Қосымша ақпарат: Power Pages қауіпсіздік ақ қағазы.