Behandle policy for innholdssikkerhet
Obs!
Fra og med 12. oktober 2022 er Power Apps-portaler Power Pages. Mer informasjon: Microsoft Power Pages er nå tilgjengelig (blogg)
Vi overfører og slår snart sammen Power Apps-portaldokumentasjonen med Power Pages-dokumentasjonen.
Policy for innholdssikkerhet (CSP) er et ekstra lag med sikkerhet som bidrar til å registrere og redusere enkelte typer nettangrep, for eksempel datatyveri, områdeavvik eller distribusjon av skadelig programvare. CSP inneholder et omfattende sett med policydirektiver som bidrar til å styre ressursene som en områdeside kan laste inn. Hvert direktiv definerer begrensningene for en bestemt ressurstype.
Når CSP er aktivert for et portalnettsted, bidrar det til å forbedre sikkerheten ved å blokkere tilkoblinger, skripter, skrifter og andre typer ressurser som kommer fra ukjente eller skadelige kilder. CSP er deaktivert som standard i portaler. Mange nettsteder kan imidlertid kreve CSP for å forbedre annen sikkerhet.
Hvis du vil ha mer informasjon om CSP, kan du gå til referanse for policy for innholdssikkerhet.
Konfigurer CSP
Logg deg på Power Apps.
Kontroller at du er i miljøet der portalen finnes.
Velg Apper i den venstre ruten, og velg deretter appen Portalbehandling.
Velg Områdeinnstillinger i venstre rute.
Opprett (eller oppdater) områdeinnstillingen HTTP/Content-Security-Policy, og angi verdiene du trenger fra siden CSP-referanse, atskilt med semikolon.
Eksempel
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Aktiver nonce
Aktivering av nonce (nummer brukt én gang) blokkerer kjøringen av alle innebygde skripter unntatt de som er angitt i det innebygde skriptet. Et unikt kryptografisk nonce genereres og legges til i hvert skript som er angitt i CSP-hodet. I portaler støtter nonce bare innebygde skripter og innebygde hendelsesbehandlinger. Hvis du vil ha mer informasjon om nonce, kan du gå til Bruk nonce med CSP.
Hvis du vil aktivere nonce i portaler, legger du til verdien script-src 'nonce'; i områdeinnstillingene HTTP/Content-Security-Policy-policy.
Eksempler
Hvis du vil ha en streng policy og ikke vil tillate skriptlasting fra kilder utenfor portaler, bruker du følgende:
script-src 'self' content.powerapps.com 'nonce'
Hvis du vil laste inn skripter fra en sikker kilde, bruker du følgende:
script-src https: 'nonce'
Obs!
- Når nonce er aktivert, blir unsafe-eval satt inn automatisk for å støtte den automatiske evalueringen av usikker kode. Hvis du vil deaktivere den automatiske innsettingen av unsafe-eval, oppdaterer du innstillingen HTTP/Content-Security-Policy/Inject-unsafe-eval til false.
- Hvis innsetting av unsafe-eval er deaktivert, kan det hende at valideringen av automatisk genererte felter i standardskjemer eller avansert skjemaer ikke lenger fungerer som det skal.