Clickjacking menggunakan iFrame terbenam atau komponen lain untuk merampas interaksi pengguna dengan halaman web.
Power Pages menyediakan seting laman HTTP/X-Frame-Options dengan lalai SAMEORIGIN untuk melindungi daripada serangan clickjacking.
Maklumat lanjut: Sediakan pengepala HTTP dalam Power Pages
Power Pages menyokong Dasar Keselamatan Kandungan (CSP). Ujian meluas disyorkan selepas mendayakan CSP pada tapak web Power Pages.
Maklumat lanjut: Uruskan Dasar Keselamatan Kandungan tapak anda
Secara lalai,menyokong Power Pages HTTP ke ubah hala HTTPS. Jika dibenderakan, sahkan sama ada permintaan disekat pada Aras Perkhidmatan Apl. Jika ia bukan permintaan yang berjaya (kod respons >= 400), ia adalah positif palsu.
Power Pages menetapkan bendera HTTPOnly/SameSite untuk setiap kuki kritikal. Terdapat beberapa kuki yang tidak kritikal yang HTTPOnly/SameSite tidak ditetapkan dan ini tidak boleh dianggap sebagai kerentanan.
Maklumat lanjut: Kuki dalam Power Pages
Laporan ujian Pen saya menandakan Perisian Akhir Hayat / Usang - Bootstrap 3. Apa yang perlu saya lakukan mengenainya?
Tiada kelemahan yang diketahui pada Bootstrap 3; walau bagaimanapun, anda boleh memindahkan tapak anda ke Bootstrap 5.
Apakah sifer yang disokong oleh Power Pages? Apakah hala tuju yang terus bergerak ke arah sifir yang lebih kuat?
Semua perkhidmatan dan produk Microsoft dikonfigurasikan untuk menggunakan suite sifer yang diluluskan, dalam aturan tepat yang diarahkan oleh Microsoft Crypto Board.
Untuk senarai penuh dan aturan yang tepat, lihat Dokumentasi Power Platform.
Maklumat tentang penamatan suite sifer disampaikan melalui dokumentasi Perubahan Penting Power Platform.
Mengapakah Power Pages masih menyokong sifer RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) dan TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), yang dianggap lebih lemah?
Microsoft mempertimbangkan risiko relatif dan gangguan kepada operasi pelanggan dalam memilih suite sifer untuk disokong. Suite sifer RSA-CBC masih belum rosak lagi. Kami telah mendayakannya untuk memastikan keseragaman pada semua perkhidmatan dan produk kami serta menyokong semua konfigurasi pelanggan; walau bagaimanapun, mereka berada di bawah sekali senarai keutamaan.
Kami akan menamatkan sifer berdasarkan penilaian berterusan Microsoft Crypto Board.
Maklumat lanjut: Suit sifer TLS 1.2 yang manakah disokong oleh Power Pages?
Power Pages dibina pada Microsoft Azure dan menggunakan Perlindungan Azure DDoS untuk melindungi daripada serangan DDoS. Selain itu, membolehkan OOB/pihak ketiga AFD/WAF boleh menambah lebih banyak perlindungan di laman web ini.
Maklumat lanjut:
Laporan ujian Pen Saya ialah menandakan kerentanan dalam CKEditor. Bagaimanakah saya boleh mengurangkan kerentanan ini?
Kawalan RTE PCF menggantikan CKEditor tidak lama lagi. Jika anda ingin mengurangkan isu ini sebelum keluaran kawalan RTE PCF, matikan CKEditor dengan mengkonfigurasi tetapan tapak DisableCkEditorBundle = benar. Medan teks menggantikan CKEditor sebaik sahaja ia dinyahdayakan.
Kami mengesyorkan anda melakukan pengekodan HTML sebelum memaparkan data daripada sumber yang tidak dipercayai.
Maklumat lanjut: Penapis pengekodan sedia ada.
Secara lalai, ciri pengesahihan permintaan ASP.Net didayakan pada Power Pages borang untuk mengelakkan serangan suntikan skrip. Jika anda mencipta borang anda sendiri menggunakan API, Power Pages menggabungkan beberapa langkah untuk mencegah serangan suntikan.
- Pastikan sanitasi HTML yang betul semasa mengendalikan input pengguna dari borang atau sebarang kawalan data yang menggunakan API Web.
- Melaksanakan sanitasi input dan output untuk semua data input dan output sebelum memaparkannya pada halaman. Ini termasuk data yang diambil melalui cecair/WebAPI atau dimasukkan/dikemas kini melalui Dataverse saluran ini.
- Jika semakan khas diperlukan sebelum memasukkan atau mengemas kini data borang, anda boleh menulis plugin yang melaksanakan untuk mengesahkan data di bahagian pelayan.
Maklumat lanjut: Power Pages kertas putih keselamatan.