Noklikšķināšana uz klikšķa izmanto iegultus iFrame vai citus komponentus, lai nolaupītu lietotāja mijiedarbības ar tīmekļa lapu.
Power Pages nodrošina HTTP/X-Frame-Options vietnes iestatījumus ar noklusējuma SAMEORIGIN, lai aizsargātu pret klikšķu uzbrukumiem.
Papildinformācija: HTTP galveņu iestatīšana Power Pages
Power Pages atbalsta Satura drošības politiku (SDP). Ieteicams veikt plašu testēšanu pēc tam, kad Power Pages vietnēs tiek iespējota SDP.
Papildinformācija Vietnes satura drošības politikas pārvaldība
Pēc noklusējuma Power Pages atbalsta HTTP uz HTTPS novirzīšanu. Ja tas ir atzīmēts ar karodziņu, pārbaudiet, vai pieprasījums netiek bloķēts lietojumprogrammu pakalpojumu līmenī. Ja tas nav sekmīgs pieprasījums (atbildes kods >= 400), tas ir viltus pozitīvs rezultāts.
Power Pages iestata HTTPOnly/SameSite karodziņus katram svarīgam sīkfailam. Ir daži nekritiski sīkfaili, kuriem nav iestatīta HTTPOnly/SameSite, un tos nevar uzskatīt par nedrošiem.
Plašāka informācija: Sīkfaili pakalpojumā Power Pages
Mans pildspalvas testa ziņojums atzīmē ar karodziņu Kalpošanas laika beigas / novecojusi programmatūra - Bootstrap 3. Ko man darīt lietas labā?
Bootstrap 3 nav zināmu ievainojamību; tomēr jūs varat migrēt savu vietni uz Bootstrap 5.
Kādus šifrus Power Pages atbalsta? Kāds ir ceļvedis, lai nepārtraukti virzītos uz spēcīgākiem šifriem?
Visi Microsoft pakalpojumi un produkti ir konfigurēti, lai izmantotu apstiprinātos šifrēšanas produktus tieši tādā secībā, kādu nosaka Microsoft Cripto Board.
Pilnu sarakstu un precīzu secību skatiet Power Platform dokumentācijā.
Informācija par šifru produktu novecojošām versijām tiek publicēta Power Platform dokumentācijā Būtiskas izmaiņas.
Kāpēc Power Pages joprojām atbalsta RSA-CBC šifrus (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) un TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), kurus uzskata par vājākiem?
Korporācija Microsoft, izvēloties atbalstāmos šifru produktus, izsver relatīvo risku un klientu operāciju traucējumus. RSA-CBC šifru produkti vēl nav bijuši uzlauzti. Esam tiem ļāvuši nodrošināt konsekvenci visos mūsu pakalpojumos un produktos, kā arī atbalstīs visas klientu konfigurācijas, tomēr tas nav prioritāšu augšgalā.
Šos šifrus padarīsim par novecojušiem īstajā laikā, balstoties uz Microsoft Crypto Board nepārtrauktajā novērtējumā.
Papildinformācija: Kādus TLS 1.2 šifru komplektus atbalsta Power Pages?
Kā aizsardzība pret izkliedētā Power Pages pakalpojumatteices (Distributed Denial of Service — DDoS) uzbrukumiem?
Power Pages ir veidota uz Microsoft Azure bāzes un izmanto Azure DDoS aizsardzību, lai aizsargātos pret DDoS uzbrukumiem. Turklāt, iespējojot OOB / trešās puses AFD / WAF, vietnē var pievienot lielāku aizsardzību.
Papildu informācija:
RTE PCF vadība drīz aizstās CKEditor. Ja vēlaties mazināt šo problēmu pirms RTE PCF vadīklas izlaišanas, atspējojiet CKEditor, konfigurējot vietnes iestatījumu DisableCkEditorBundle = true. Kad teksta lauks ir atspējots, tas aizstāj CKEditor.
Ieteicams veikt HTML kodēšanu pirms datu atveidošanas no neuzticama avota.
Papildinformācija: Pieejamie kodējuma filtri.
Pēc noklusējuma ASP.Net pieprasījuma validācijas līdzeklis ir iespējots Power Pages veidlapās, lai novērstu skripta injekcijas uzbrukumus. Ja veidojat savu veidlapu, izmantojot API, iekļaujiet vairākus pasākumus, Power Pages lai novērstu injekciju uzbrukumus.
- Nodrošiniet pareizu HTML sanitāriju, apstrādājot lietotāja ievadi no veidlapas vai jebkuras datu vadīklas, kas izmanto Web API.
- Ieviesiet ievades un izvades sanitāriju visiem ievades un izvades datiem pirms to atveidošanas lapā. Tas ietver datus, kas iegūti, izmantojot šķidrumu/WebAPI, vai ievietoti/atjaunināti Dataverse , izmantojot šos kanālus.
- Ja pirms veidlapas datu ievietošanas vai atjaunināšanas ir nepieciešamas īpašas pārbaudes, varat rakstīt spraudņus, kas tiek izpildīti, lai validētu datus servera pusē.
Papildinformācija: Power Pages Drošības tehniskais dokuments.