Skaityti anglų kalba Redaguoti

Bendrinti naudojant


DUK apie „Power Pages“ saugą

Kaip „Power Pages“ padeda apsisaugoti nuo klaidinančių spustelėjimų?

"Clickframeing naudoja įtaisytuosius iFRAME ar kitus komponentus vartotojo sąveikai su tinklalapiu hicharguoti.
Power Pages pateikia HTTP/X-Frame-Options svetainės nustatymus su numatytuoju SAMEORIGIN, kad apsaugotų nuo clickjacking atakų.

Daugiau informacijos: Nustatyti HTTP antraštes Power Pages

Ar „Power Pages“ palaiko turinio saugos strategiją?

Power Pages palaiko turinio saugos strategiją (CSP). Įjungus CSP, rekomenduojama atlikti daug Power Pages bandymų.

Daugiau informacijos: Svetainės turinio saugos strategijos valdymas

Ar Power Pages palaiko HTTP griežto transporto saugos politiką?

Pagal numatytuosius nustatymus Power Pages palaiko HTTP į HTTPS peradresavimus. Jei pažymėta vėliavėle, patikrinkite, ar užklausa blokuojama programėlės aptarnavimo lygiu. Jei užklausa nėra sėkminga (atsako kodas >= 400), tai yra klaidingas teigiamas.

Kodėl rašiklio tikrinimo įrankiai aptinka slapukų be HTTPOnly / SameSite vėliavomis?

Power Pages nustato kiekvieno kritinio slapuko HTTPOnly/SameSite žymas. Yra tam tikrų nekonkvalinių slapukų, kuriems nenustatė HTTPOnly /SameSite, ir šie slapukai neturėtų būti laikomi pažeidžiamais.

Daugiau informacijos: Slapukai Power Pages

Mano rašiklio bandymo ataskaitoje pažymima gyvenimo pabaigos / pasenusi programinė įranga – "Bootstrap 3". Ką turėčiau dėl to daryti?

"Bootstrap 3" nėra žinomų pažeidžiamumų; tačiau galite perkelti savo svetainę į "Bootstrap 5".

Visos „Microsoft“ paslaugos ir produktai sukonfigūruoti taip, kad naudotų patvirtintus šifrų rinkinius tiksliai nurodyta „Microsoft Crypto Board“ tvarka.

Visą sąrašą ir tikslią tvarką žr. „Power Platform“ dokumentuose.

Informacija apie nebenaudojamus šifrų rinkinius perduodama naudojant Power Platform svarbių keitimų dokumentus.

Kodėl „Power Pages“ vis dar palaiko RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ir TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurie laikomi mažiau patikimais?

Pasirinkdama palaikomus šifrų rinkinius „Microsoft“ pasveria santykinę riziką ir poveikį klientų operacijoms. RSA-CBC šifrų rinkiniai dar nebuvo nulaužti. Įgalinome juos užtikrinti mūsų paslaugų ir produktų nuoseklumą bei palaikyti visas klientų konfigūracijas; nepaisant to, jie yra pirmenybės sąrašo apačioje.

Tinkamu metu atsisakysime šių šifrų atsižvelgdami į nuolatinį „Microsoft Crypto Board“ vertinimą.

More information: Kurie TLS 1.2 ciferiai yra tinkamai ir palaikomi Power Pages?

Kaip apsisaugoti Power Pages nuo paskirstyto paslaugų atsisakymo (DDoS) atakų?

Power Pages yra pagrįsta Microsoft Azure ir naudoja Azure DDoS Protection, kad apsaugotų nuo DDoS atakų. Be to, įjungus OOB / trečiosios šalies AFD / WAF, svetainėje gali būti suteikta daugiau apsaugos.

Daugiau informacijos:

Mano rašiklio tikrinimo ataskaita yra CKEditor tamsinimosi, dėl ko yrasusijęs suslėgtasis rašymo priemonė. Kaip galiu sužvelninti šį pažeidžiamumą?

RTE PCF valdymas netrukus pakeis CKEditor. Jei norite sumažinti šią problemą prieš išleidžiant RTE PCF valdiklį, išjunkite CKEditor sukonfigūruodami svetainės nustatymą DisableCkEditorBundle = true. Išjungtą teksto lauką pakeičia CKEditor.

Kaip apsaugoti savo svetainę nuo XSS atakų?

Rekomenduojame atlikti HTML kodavimą prieš pateikiant duomenis iš nepatikimo šaltinio.

Daugiau informacijos: Prieinami kodavimo filtrai.

Kaip apsaugoti svetainę nuo injekcijų atakų?

Pagal numatytuosius nustatymus ASP.Net užklausos tikrinimo funkcija yra įjungta formose Power Pages , kad būtų išvengta scenarijaus įterpimo atakų. Jei kuriate savo formą naudodami API, apima keletą priemonių, Power Pages skirtų užkirsti kelią injekcijų atakoms.

  • Užtikrinkite tinkamą HTML dezinfekavimą, kai tvarkote vartotojo įvestį iš formos ar bet kokio duomenų valdiklio, kuris naudoja žiniatinklio API.
  • Įdiekite visų įvesties ir išvesties duomenų įvesties ir išvesties sanitariją prieš pateikdami juos puslapyje. Tai apima duomenis, gautus per skystį / WebAPI arba įterptus / atnaujintus Dataverse šiais kanalais.
  • Jei prieš įterpiant ar atnaujinant formos duomenis reikia specialių patikrinimų, galite rašyti papildinius, kurie vykdomi, kad patikrintų duomenis serverio pusėje.

Daugiau informacijos: Power Pages saugos dokumentacija.