"Clickframeing naudoja įtaisytuosius iFRAME ar kitus komponentus vartotojo sąveikai su tinklalapiu hicharguoti.
Power Pages pateikia HTTP/X-Frame-Options svetainės nustatymus su numatytuoju SAMEORIGIN, kad apsaugotų nuo clickjacking atakų.
Daugiau informacijos: Nustatyti HTTP antraštes Power Pages
Power Pages palaiko turinio saugos strategiją (CSP). Įjungus CSP, rekomenduojama atlikti daug Power Pages bandymų.
Daugiau informacijos: Svetainės turinio saugos strategijos valdymas
Pagal numatytuosius nustatymus Power Pages palaiko HTTP į HTTPS peradresavimus. Jei pažymėta vėliavėle, patikrinkite, ar užklausa blokuojama programėlės aptarnavimo lygiu. Jei užklausa nėra sėkminga (atsako kodas >= 400), tai yra klaidingas teigiamas.
Power Pages nustato kiekvieno kritinio slapuko HTTPOnly/SameSite žymas. Yra tam tikrų nekonkvalinių slapukų, kuriems nenustatė HTTPOnly /SameSite, ir šie slapukai neturėtų būti laikomi pažeidžiamais.
Daugiau informacijos: Slapukai Power Pages
Mano rašiklio bandymo ataskaitoje pažymima gyvenimo pabaigos / pasenusi programinė įranga – "Bootstrap 3". Ką turėčiau dėl to daryti?
"Bootstrap 3" nėra žinomų pažeidžiamumų; tačiau galite perkelti savo svetainę į "Bootstrap 5".
Visos „Microsoft“ paslaugos ir produktai sukonfigūruoti taip, kad naudotų patvirtintus šifrų rinkinius tiksliai nurodyta „Microsoft Crypto Board“ tvarka.
Visą sąrašą ir tikslią tvarką žr. „Power Platform“ dokumentuose.
Informacija apie nebenaudojamus šifrų rinkinius perduodama naudojant Power Platform svarbių keitimų dokumentus.
Kodėl „Power Pages“ vis dar palaiko RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ir TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurie laikomi mažiau patikimais?
Pasirinkdama palaikomus šifrų rinkinius „Microsoft“ pasveria santykinę riziką ir poveikį klientų operacijoms. RSA-CBC šifrų rinkiniai dar nebuvo nulaužti. Įgalinome juos užtikrinti mūsų paslaugų ir produktų nuoseklumą bei palaikyti visas klientų konfigūracijas; nepaisant to, jie yra pirmenybės sąrašo apačioje.
Tinkamu metu atsisakysime šių šifrų atsižvelgdami į nuolatinį „Microsoft Crypto Board“ vertinimą.
More information: Kurie TLS 1.2 ciferiai yra tinkamai ir palaikomi Power Pages?
Power Pages yra pagrįsta Microsoft Azure ir naudoja Azure DDoS Protection, kad apsaugotų nuo DDoS atakų. Be to, įjungus OOB / trečiosios šalies AFD / WAF, svetainėje gali būti suteikta daugiau apsaugos.
Daugiau informacijos:
Mano rašiklio tikrinimo ataskaita yra CKEditor tamsinimosi, dėl ko yrasusijęs suslėgtasis rašymo priemonė. Kaip galiu sužvelninti šį pažeidžiamumą?
RTE PCF valdymas netrukus pakeis CKEditor. Jei norite sumažinti šią problemą prieš išleidžiant RTE PCF valdiklį, išjunkite CKEditor sukonfigūruodami svetainės nustatymą DisableCkEditorBundle = true. Išjungtą teksto lauką pakeičia CKEditor.
Rekomenduojame atlikti HTML kodavimą prieš pateikiant duomenis iš nepatikimo šaltinio.
Daugiau informacijos: Prieinami kodavimo filtrai.
Pagal numatytuosius nustatymus ASP.Net užklausos tikrinimo funkcija yra įjungta formose Power Pages , kad būtų išvengta scenarijaus įterpimo atakų. Jei kuriate savo formą naudodami API, apima keletą priemonių, Power Pages skirtų užkirsti kelią injekcijų atakoms.
- Užtikrinkite tinkamą HTML dezinfekavimą, kai tvarkote vartotojo įvestį iš formos ar bet kokio duomenų valdiklio, kuris naudoja žiniatinklio API.
- Įdiekite visų įvesties ir išvesties duomenų įvesties ir išvesties sanitariją prieš pateikdami juos puslapyje. Tai apima duomenis, gautus per skystį / WebAPI arba įterptus / atnaujintus Dataverse šiais kanalais.
- Jei prieš įterpiant ar atnaujinant formos duomenis reikia specialių patikrinimų, galite rašyti papildinius, kurie vykdomi, kad patikrintų duomenis serverio pusėje.
Daugiau informacijos: Power Pages saugos dokumentacija.