Išplėstiniai parametrai (peržiūros versija)
[Ši tema yra negalutinė dokumentacija ir gali keistis.]
Darbo sritis Sauga leidžia toliau apsaugoti svetainės turinį ir duomenis nuo saugos grėsmių tiesiai iš Power Pages dizaino studijos. Naudokite išplėstinius nustatymus, kad greitai ir efektyviai konfigūruotumėte svetainės HTTP antraštes, sukonfigūruotumėte turinio saugos strategija (CSP), kryžminį kilmės išteklių bendrinimą (CORS), slapukus, leidimus ir kt.
Svarbu
- Tai yra peržiūros versijos funkcija.
- Peržiūros funkcijos nėra skirtos naudoti gamybai ir gali būti apribotas jų funkcionalumas. Šias funkcijas galima naudoti prieš oficialų išleidimą, kad klientai galėtų gauti ankstyvą prieigą ir pateikti atsiliepimų.
- Power PagesPrisijunkite ir atidarykite savo svetainę redaguoti.
- Kairiojoje naršymo srityje pasirinkite Saugos darbo sritis , tada pasirinkite Išplėstiniai parametrai (peržiūros versija).
Konfigūruoti turinio saugos strategija (CSP)
Turinio saugos strategija (CSP) naudoja žiniatinklio serveriai, kad įgyvendintų tinklalapio saugos taisyklių rinkinį. Tai padeda apsaugoti svetaines nuo įvairių tipų saugos atakų, tokių kaip kelių svetainių scenarijai (XSS), duomenų įpurškimas ir kitos kodo įterpimo atakos.
Direktyvas
Palaikomos šios direktyvos.
| Direktyva | Aprašas |
|---|---|
| Numatytasis šaltinis | Nurodo numatytąjį turinio, kuris nėra aiškiai apibrėžtas kitose direktyvose, šaltinį. Tai yra atsarginis variantas kitoms direktyvoms. |
| Vaizdo šaltinis | Nurodo tinkamus vaizdų šaltinius. Valdo domenus, iš kurių galima įkelti vaizdus. |
| Šrifto šaltinis | Nurodo tinkamus šriftų šaltinius. Naudojamas domenams, iš kurių galima įkelti žiniatinklio šriftus, valdyti. |
| Scenarijaus šaltinis | Nurodo galiojančius "JavaScript" kodo šaltinius. Scenarijaus šaltinis gali apimti konkrečius domenus, "aš" tos pačios kilmės, "nesaugus inline" įdėtiesiems scenarijams ir "nonce-xyz" scenarijams su konkrečiu nonce. Pasirinkite įjungti nonce arba suleisti nesaugų įvertinimą. Sužinokite daugiau apsilankę Svetainės turinio saugos strategija valdymas: įjunkite nonce |
| Stiliaus šaltinis | Nurodo tinkamus stiliaus aprašų šaltinius. Panašiai kaip scenarijus-src, jis gali apimti domenus, "save", "nesaugią eilutę" ir "nonce-xyz". |
| Ryšio šaltinis | Nurodo tinkamus XMLHttpRequest, WebSocket arba EventSource šaltinius. Valdo domenus, kuriems puslapis gali pateikti tinklo užklausas. |
| Medijos šaltinis | Nurodo galiojančius garso ir vaizdo šaltinius. Naudojamas domenams, iš kurių galima įkelti medijos išteklius, valdyti. |
| Rėmo šaltinis | Nurodo tinkamus rėmelių šaltinius. Valdo domenus, iš kurių puslapis gali įdėti rėmelius. |
| Rėmo protėviai | Nurodo tinkamus šaltinius, kurie gali įdėti dabartinį puslapį kaip rėmelį. Valdo, kuriems domenams leidžiama įdėti puslapį. |
| Formos veiksmas | Nurodo tinkamus formų pateikimo šaltinius. Apibrėžia domenus, į kuriuos galima siųsti formos duomenis. |
| Objekto šaltinis | Nurodo tinkamus objekto elemento išteklių šaltinius, pvz., "Flash" failus ar kitus įdėtuosius objektus. Tai padeda kontroliuoti, iš kurios kilmės šie objektai gali būti pakrauti. |
| Darbuotojo šaltinis | Nurodo žiniatinklio darbuotojams, įskaitant paskirtus darbuotojus, bendrai naudojamus darbuotojus ir aptarnavimo darbuotojus, tinkamus šaltinius. Tai padeda valdyti, iš kurios kilmės šiuos darbuotojo scenarijus galima įkelti ir vykdyti. |
| Deklaracijos šaltinis | Nurodo žiniatinklio darbuotojams, įskaitant paskirtus darbuotojus, bendrai naudojamus darbuotojus ir aptarnavimo darbuotojus, tinkamus šaltinius. Tai padeda valdyti, iš kurios kilmės šiuos darbuotojo scenarijus galima įkelti ir vykdyti. |
| Antrinis šaltinis | Nurodo žiniatinklio darbuotojams, įskaitant paskirtus darbuotojus, bendrai naudojamus darbuotojus ir aptarnavimo darbuotojus, tinkamus šaltinius. Tai padeda valdyti, iš kurios kilmės šiuos darbuotojo scenarijus galima įkelti ir vykdyti. |
Kiekvienai direktyvai galite pasirinkti konkretų URL, visus domenus arba nė vieno.
Jei reikia išplėstinės konfigūracijos, eikite į skiltį Svetainės turinio saugos strategija valdymas: svetainės CSP nustatymas.
Konfigūruoti kelių kilmės išteklių bendrinimą (CORS)
Žiniatinklio naršyklės naudoja "Cross-Origin Resource Sharing" (CORS), kad leistų arba apribotų žiniatinklio programas, veikiančias viename domene, prašyti ir pasiekti išteklius iš kito domeno.
Direktyvas
Palaikomos šios direktyvos.
| Direktyva | Aprašas | Reikšmės |
|---|---|---|
| Leisti pasiekti išteklius iš serverio | Taip pat žinomas kaip Access-Control-Allow-Origin, padeda serveriui nuspręsti, kurioms kilmės vietoms leidžiama pasiekti jo išteklius. Kilmė gali būti domenai, protokolai ir prievadai. | Domeno URL pasirinkimas |
| Siųsti antraštes serverio užklausų metu | Taip pat žinomas kaip „Access-Control-Allow-Headers“, parametras padeda apibrėžti antraštes, kurias galima siųsti užklausomis iš kitos kilmės ir pasiekti išteklius serveryje. | Pasirinkite konkrečias antraštes su šiomis teisėmis Kilmė Priimti autorizaciją Turinys – tipas |
| Atskleisti antraštės reikšmes kliento kode | Ši direktyva, taip pat žinoma kaip "Access-Control-Expose-Headers", nurodo naršyklei, kurioje atsakymas antraštės turėtų būti rodomos ir prieinamos prašančiam kliento kodui kryžminėse užklausose. | Pasirinkite konkrečias antraštes su šiomis teisėmis Kilmė Priimti autorizaciją Turinys – tipas |
| Apibrėžkite metodus, kaip pasiekti išteklius | Taip pat žinomas kaip Access-Control-Allow-Methods, padeda apibrėžti, kurie HTTP metodai leidžiami, kai pasiekiami ištekliai serveryje iš kitos kilmės. | GET - prašo duomenų iš nurodyto ištekliaus POST - pateikia duomenis apdoroti nurodytam ištekliui PUT - atnaujina arba pakeičia išteklius konkrečiame URL HEAD -Tas pats kaip GET, bet nuskaito tik antraštes, o ne faktinį turinį PATCH - Iš dalies modifikuoja išteklių PARINKTYS - Prašo informacijos apie ištekliaus arba serverio ryšio parinktis DELETE - ištrina nurodytą išteklių |
| Nurodyti užklausų rezultatų kaupimo talpykloje trukmę | Taip pat žinomas kaip „Access-Control-Max-Age“, parametras padeda nustatyti trukmę, per kurią naršyklės gali būti išsaugomi išankstinio patikrinimo užklausos rezultatai. | Nurodykite trukmę laikais (sekundėmis) |
| Leisti svetainei bendrinti kredencialus | Taip pat žinomas kaip „Access-Control-Allow-Credentials“, parametras padeda nustatyti, ar svetainė gali bendrinti kredencialus, pvz., slapukus, įgaliojimų antraštes ar kliento SSL sertifikatus, teikiant kelių šaltinių užklausas. | Taip/Ne |
| Rodyti tinklalapį kaip „iFrame“ iš tos pačios kilmės | Taip pat žinomas kaip „X-Frame-Options“, parametras leidžia puslapiui būti rodomam „iFrame“ tik tada, jei užklausa gaunama iš tos pačios kilmės. | Taip/Ne |
| Blokuoti MIME žvalgymą | Taip pat žinomas kaip „X-Content-Type-Options: no-sniff“, šis parametras padeda neleisti žiniatinklio naršyklėms vykdyti MIME tipo (turinio tipo) žvalgymo arba atspėti ištekliaus turinio tipo. | Taip/Ne |
Slapukų konfigūravimas (CSP)
HTTP užklausos slapuko antraštėje yra informacija apie slapukus, kuriuos svetainė anksčiau saugojo jūsų naršyklėje. Kai lankotės svetainėje, jūsų naršyklė siunčia slapuko antraštę, kurioje yra visi atitinkami slapukai, susiję su ta svetaine, atgal į serverį.
Direktyvas
Palaikomos šios direktyvos.
| Direktyva | Aprašas | Antraštės |
|---|---|---|
| Visų slapukų perdavimo taisyklės | Valdykite, kaip slapukai siunčiami su kryžminės kilmės užklausomis. Tai saugos funkcija, kuria siekiama sušvelninti tam tikrų tipų užklausų klastojimą keliose svetainėse (CSRF) ir informacijos nutekėjimo atakas. | Šis parametras atitinka antraštę SameSite/Default. |
| Konkrečių slapukų perdavimo taisyklės | Valdykite, kaip slapukai siunčiami su kryžminės kilmės užklausomis. Tai saugos funkcija, kuria siekiama sušvelninti tam tikrų tipų užklausų klastojimą keliose svetainėse (CSRF) ir informacijos nutekėjimo atakas. | Šis nustatymas atitinka antraštę SameSite/Specific cookie. |
Konfigūruoti teisių strategiją (CSP)
Leidimų strategijos antraštė leidžia žiniatinklio kūrėjams valdyti, kurios žiniatinklio platformos funkcijos tinklalapyje leidžiamos arba draudžiamos.
Direktyvas
Šios direktyvos yra palaikomos ir kontroliuoja prieigą prie atitinkamų API.
- Accelerometer
- Ambient-Light-Sensor
- Automatinis paleidimas
- Battery
- Camera
- Rodymas
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofonas
- Midi
- Otp-Credentials
- Mokėjimas
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigūruokite daugiau HTTP antraščių
Leisti saugų ryšį per HTTPS
Nustatymas, atitinkantis "HTTP Strict-Transport-Security" antraštę, informuoja naršyklę, kad ji turėtų prisijungti prie svetainės tik per HTTPS, net jei vartotojas adreso juostoje įveda "http://". Tai padeda išvengti "man-in-the-middle" atakų, užtikrinant, kad visas ryšys su serveriu būtų užšifruotas ir apsaugoti nuo tam tikrų tipų atakų, tokių kaip protokolo ankstesnės versijos grąžinimo atakos ir slapukų užgrobimas.
Pastaba.
Saugumo sumetimais šio parametro keisti negalima.
Persiuntimo informacijos įtraukimas į HTTP antraštes
Persiuntimo strategijos HTTP antraštė naudojama norint valdyti, kiek informacijos apie užklausos kilmę (persiuntimo informaciją) atskleidžiama HTTP antraštėse, kai vartotojas pereina iš vieno puslapio į kitą. Ši antraštė padeda valdyti privatumo ir saugos aspektus, susijusius su persiuntimo informacija.
| Reikšmė | Aprašas |
|---|---|
| Nuorodos šaltinio nėra | Nepersiuntimo funkcija reiškia, kad antraštėse nesiunčiama jokia persiuntimo informacija. Šis nustatymas yra labiausiai privatumą užtikrinanti parinktis. |
| Nuorodos šaltinio nėra, kai paleidžiama ankstesnė versija | Jis siunčia visą persiuntimo informaciją, kai naršote iš HTTPS į HTTP svetainę, bet tik kilmę (be kelio ar užklausos), kai naršote tarp HTTPS svetainių. |
| Ta pati kilmė - persiuntimo politika | Tos pačios kilmės šalis siunčia visą persiuntimo informaciją tik tada, kai užklausa yra tos pačios kilmės. Kryžminės kilmės prašymų atveju siunčiama tik kilmė. |
| Kilmė | Kilmė siunčia persiuntimo užklausą, bet nėra kelio ar užklausos informacijos tiek tos pačios kilmės, tiek kryžminės kilmės užklausoms. |
| Griežta kilmė | Panašiai kaip ir kilmė, bet siunčia tik tos pačios kilmės užklausų nuorodos šaltinį. |
| Kilmė, kai yra skirtinga kilmė | Panašiai kaip ir kilmė, bet siunčia tik tos pačios kilmės užklausų nuorodos šaltinį. |