Ambil perhatian
Akses ke halaman ini memerlukan kebenaran. Anda boleh cuba log masuk atau menukar direktori.
Akses ke halaman ini memerlukan kebenaran. Anda boleh cuba menukar direktori.
[Artikel ini merupakan dokumentasi prakeluaran dan tertakluk pada perubahan.]
Ruang kerja Keselamatan membolehkan anda melindungi kandungan dan data tapak anda daripada ancaman keselamatan, terus daripada Power Pages studio reka bentuk. Gunakan tetapan lanjutan untuk mengkonfigurasi pengepala HTTP tapak anda dengan cepat dan cekap, konfigurasikan Dasar Keselamatan Kandungan (CSP), Perkongsian Sumber Silang Asal (CORS), kuki, kebenaran dan banyak lagi.
Penting
- Ini adalah ciri pratonton.
- Ciri pratonton bukan untuk kegunaan pengeluaran dan mungkin mempunyai kefungsian yang terbatas. Ciri-ciri ini tertakluk kepada syarat penggunaan tambahan, dan tersedia sebelum keluaran rasmi supaya pelanggan boleh mendapatkan akses awal dan memberikan maklum balas.
- Log masuk Power Pages dan buka tapak anda untuk diedit.
- Pilih Ruang Kerja Keselamatan daripada navigasi kiri dan kemudian, pilih Seting lanjutan (pratonton).
Konfigurasikan Dasar Keselamatan Kandungan (CSP)
Dasar Keselamatan Kandungan (CSP) digunakan oleh pelayan web untuk menguatkuasakan satu set peraturan keselamatan untuk halaman web. Ia membantu melindungi tapak daripada pelbagai jenis serangan keselamatan seperti skrip merentas tapak (XSS), suntikan data dan serangan suntikan kod lain.
Arahan
Arahan berikut disokong.
| Arahan | Perihalan |
|---|---|
| Sumber lalai | Menentukan sumber lalai untuk kandungan yang tidak ditakrifkan secara eksplisit oleh arahan lain. Ia bertindak sebagai sandaran untuk arahan lain. |
| Sumber imej | Menentukan sumber yang sah untuk imej. Mengawal domain dari mana imej boleh dimuatkan. |
| Sumber fon | Menentukan sumber yang sah untuk fon. Digunakan untuk mengawal domain dari mana fon web boleh dimuatkan. |
| Sumber Skrip | Menentukan sumber yang sah untuk kod JavaScript. Sumber skrip boleh termasuk domain tertentu, 'self' untuk asal yang sama, 'tidak selamat-sebaris' untuk skrip sebaris dan 'nonce-xyz' untuk skrip dengan nonce tertentu. Pilih untuk mendayakan nonce atau menyuntik eval yang tidak selamat. Ketahui lebih lanjut di Urus Dasar Keselamatan Kandungan tapak anda: Hidupkan nonce |
| Sumber gaya | Menentukan sumber yang sah untuk helaian gaya. Sama seperti script-src, ia boleh termasuk domain, 'self', 'unsafe-inline' dan 'nonce-xyz'. |
| Sambungkan sumber | Menentukan sumber yang sah untuk XMLHttpRequest, WebSocket atau EventSource. Mengawal domain yang halaman boleh membuat permintaan rangkaian. |
| Sumber media | Menentukan sumber yang sah untuk audio dan video. Digunakan untuk mengawal domain dari mana sumber media boleh dimuatkan. |
| Sumber bingkai | Menentukan sumber yang sah untuk bingkai. Mengawal domain dari mana halaman boleh membenamkan bingkai. |
| Rangka Nenek Moyang | Menentukan sumber yang sah yang boleh membenamkan halaman semasa sebagai bingkai. Mengawal domain yang dibenarkan untuk membenamkan halaman. |
| Borang Tindakan | Menentukan sumber yang sah untuk penyerahan borang. Mentakrifkan domain yang mana data borang boleh dihantar. |
| Sumber objek | Menentukan sumber yang sah untuk sumber elemen objek, seperti fail Flash atau objek terbenam lain. Ia membantu mengawal dari mana objek ini boleh dimuatkan. |
| Sumber pekerja | Menentukan sumber yang sah untuk pekerja web, termasuk pekerja khusus, pekerja kongsi dan pekerja perkhidmatan. Ia membantu mengawal dari mana asal skrip pekerja ini boleh dimuatkan dan dilaksanakan. |
| Sumber manifes | Menentukan sumber yang sah untuk pekerja web, termasuk pekerja khusus, pekerja kongsi dan pekerja perkhidmatan. Ia membantu mengawal dari mana asal skrip pekerja ini boleh dimuatkan dan dilaksanakan. |
| Sumber anak | Menentukan sumber yang sah untuk pekerja web, termasuk pekerja khusus, pekerja kongsi dan pekerja perkhidmatan. Ia membantu mengawal dari mana asal skrip pekerja ini boleh dimuatkan dan dilaksanakan. |
Untuk setiap arahan, anda boleh sama ada memilih URL tertentu, semua domain atau tiada.
Untuk konfigurasi lanjutan, pergi ke Urus Dasar Keselamatan Kandungan tapak anda: Tetapkan CSP tapak anda.
Konfigurasikan Perkongsian Sumber Silang Asal (CORS)
Perkongsian Sumber Merentas Asal (CORS) digunakan oleh penyemak imbas web untuk membenarkan atau menyekat aplikasi web yang berjalan dalam satu domain untuk meminta dan mengakses sumber daripada domain lain.
Arahan
Arahan berikut disokong.
| Arahan | Perihalan | Nilai |
|---|---|---|
| Benarkan mengakses sumber daripada pelayan | Juga dikenali sebagai Access-Control-Allow-Origin, membantu pelayan memutuskan asal mana yang dibenarkan mengakses sumbernya. Asal-usul boleh menjadi domain, protokol dan port. | Pilih URL domain |
| Hantar pengepala semasa permintaan pelayan | Juga dikenali sebagai Access-Control-Allow-Headers, membantu menentukan pengepala yang boleh dihantar dalam permintaan dari asalan yang berbeza untuk mengakses sumber pada pelayan. | Pilih pengepala tertentu dengan keizinan berikut Asal Terima Kebenaran Kandungan – jenis |
| Dedahkan nilai pengepala dalam kod pihak klien | Juga dikenali sebagai Access-Control-Expose-Headers, arahan ini mengarahkan penyemak imbas tentang pengepala respons yang harus didedahkan dan boleh diakses oleh kod bahagian pelanggan yang meminta dalam permintaan silang asal. | Pilih pengepala tertentu dengan keizinan berikut Asal Terima Kebenaran Kandungan – jenis |
| Tentukan kaedah untuk mengakses sumber | Juga dikenali sebagai Access-Control-Allow-Methods, membantu menentukan kaedah HTTP yang dibenarkan apabila mengakses sumber pada pelayan daripada asal yang berbeza. | GET - Meminta data daripada sumber tertentu POST - Menyerahkan data untuk diproses ke sumber tertentu PUT - Mengemas kini atau menggantikan sumber pada URL tertentu HEAD -Sama seperti GET tetapi hanya mengambil pengepala dan bukan kandungan sebenar PATCH - Sebahagiannya mengubah suai sumber OPTIONS - Meminta maklumat tentang pilihan komunikasi yang tersedia untuk sumber atau pelayan DELETE - Memadamkan sumber yang ditentukan |
| Nyatakan tempoh untuk keputusan permintaan cache | Juga dikenali sebagai Access-Control-Max-Age, membantu menentukan tempoh untuk hasil permintaan prapenerbangan boleh disimpan oleh pelayar. | Tentukan tempoh dalam masa (saat) |
| Benarkan tapak berkongsi bukti kelayakan | Juga dikenalis sebagai Access-Control-Allow-Credentials, membantu menentukan sama ada tapak boleh berkongsi kelayakan seperti kuki, pengepala pengesahan, atau sijil SSL pihak klien semasa permintaan rentas asalan. | Ya/Tidak |
| Paparkan halaman web sebagai iFrame dari asalan yang sama | Juga dikenali sebagai X-Frame-Options, membolehkan halaman dipaparkan dalam iframe hanya jika permintaan berasal dari asalan yang sama. | Ya/Tidak |
| Sekat penghiduan MIME | Juga diketahui sebagai X-Content-Type-Options: no-sniff, ini membantu mencegah pelayar web daripada melakukan penghiduan atau penekaan jenis MIME (jenis kandungan) sumber jenis kandungan. | Ya/Tidak |
Konfigurasikan kuki (CSP)
Pengepala Kuki dalam permintaan HTTP mengandungi maklumat tentang kuki yang sebelum ini disimpan oleh tapak web dalam penyemak imbas anda. Apabila anda melawati tapak web, penyemak imbas anda menghantar pengepala Kuki yang mengandungi semua kuki berkaitan yang berkaitan dengan tapak itu kembali ke pelayan.
Arahan
Arahan berikut disokong.
| Arahan | Perihalan | Pengepala |
|---|---|---|
| Peraturan pemindahan untuk semua kuki | Kawal cara kuki dihantar dengan permintaan silang asal. Ia adalah ciri keselamatan yang bertujuan untuk mengurangkan jenis pemalsuan permintaan merentas tapak (CSRF) dan serangan kebocoran maklumat tertentu. | Tetapan ini sepadan dengan pengepala SameSite/Default. |
| Peraturan pemindahan untuk kuki tertentu | Kawal cara kuki dihantar dengan permintaan silang asal. Ia adalah ciri keselamatan yang bertujuan untuk mengurangkan jenis pemalsuan permintaan merentas tapak (CSRF) dan serangan kebocoran maklumat tertentu. | Tetapan ini sepadan dengan pengepala Kuki SameSite/Khusus. |
Konfigurasikan Dasar Kebenaran (CSP)
Pengepala Dasar Kebenaran membolehkan pembangun web mengawal ciri platform web yang dibenarkan atau ditolak pada halaman web.
Arahan
Arahan berikut disokong dan mengawal akses kepada API masing-masing.
- Accelerometer
- Ambient-Light-Sensor
- Auto main
- Battery
- Kamera
- Paparkan
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolokasi
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Mikrofon
- Midi
- Otp-Credentials
- Pembayaran
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Konfigurasikan lebih banyak Pengepala HTTP
Benarkan sambungan selamat melalui HTTPS
Tetapan yang sepadan dengan pengepala HTTP Strict-Transport-Security memberitahu penyemak imbas bahawa ia hanya boleh menyambung ke tapak web melalui HTTPS, walaupun pengguna memasukkan "http://" dalam bar alamat. Ia membantu mencegah serangan man-in-the-middle dengan memastikan semua komunikasi dengan pelayan disulitkan dan melindungi daripada jenis serangan tertentu, seperti serangan penurunan taraf protokol dan rampasan kuki.
Nota
Atas sebab keselamatan, tetapan ini tidak boleh diubah suai.
Sertakan maklumat perujuk dalam pengepala HTTP
Pengepala HTTP Referrer-Policy digunakan untuk mengawal jumlah maklumat tentang asal permintaan (maklumat perujuk) didedahkan dalam pengepala HTTP apabila pengguna menavigasi dari satu halaman ke halaman lain. Pengepala ini membantu mengawal aspek privasi dan keselamatan yang berkaitan dengan maklumat perujuk.
| Nilai | Perihalan |
|---|---|
| Tiada perujuk | Tiada perujuk bermakna tiada maklumat perujuk dihantar dalam pengepala. Tetapan ini ialah pilihan yang paling mementingkan privasi. |
| Tiada Perujuk Apabila Menurun Taraf | Ia menghantar maklumat perujuk penuh apabila menavigasi daripada HTTPS ke tapak HTTP tetapi hanya asal (tiada laluan atau pertanyaan) apabila menavigasi antara tapak HTTPS. |
| Asal Usul yang Sama - Dasar Perujuk | Asal-sama menghantar maklumat perujuk penuh hanya apabila permintaan adalah kepada asal yang sama. Untuk permintaan silang asal, hanya asal yang dihantar. |
| Asalan | Origin menghantar asal perujuk, tetapi tiada laluan atau maklumat pertanyaan, kedua-duanya untuk permintaan asal yang sama dan silang asal. |
| Asalan Ketat | Sama dengan asalan, tetapi hanya menghantar maklumat perujuk untuk permintaan asalan yang sama. |
| Asalan Apabila Rentas Asalan | Sama dengan asalan, tetapi hanya menghantar maklumat perujuk untuk permintaan asalan yang sama. |