Les på engelsk Rediger

Del via


Vanlige spørsmål om Power Pages-sikkerhet

Hvordan bidrar Power Pages til å beskytte mot klikknappingsrisiko?

Klikknapping bruker innebygde iFrames eller andre komponenter til å kapre en brukers samhandlinger med en nettside.
Power Pages har nettstedsinnstillinger for HTTP/X-Frame-Options med standard SAMEORIGIN for å beskytte mot klikknappingsangrep.

Mer informasjon: Konfigurere HTTP-hoder i Power Pages

Har Power Pages støtte for sikkerhetspolicy for innhold?

Power Pages støtter for sikkerhetspolicy for innhold. Vi anbefaler at du foretar omfattende testing etter at du har aktivert sikkerhetspolicy for innhold på Power Pages-nettsteder.

Mer informasjon: Behandle nettstedets sikkerhetspolicy for innhold

Har Power Pages støtte for HTTP Strict Transport Security-policy?

Power Pages støtter som standard omadressering fra http til https. Hvis forespørselen flagges, kontrollerer du om den blokkeres på App Service-nivå. Hvis forespørselen ikke er vellykket (svarkode >= 400), er den en falsk positiv.

Hvorfor oppdages/rapporteres informasjonskapsler uten HTTPOnly/SameSite-flagg av verktøy for inntrengningstesting?

Power Pages angir HTTPOnly/SameSite-flagg for hver kritiske informasjonskapsel. Det finnes enkelte ikke-kritiske informasjonskapsler som HTTPOnly/SameSite ikke angis for, og disse bør ikke betraktes som sårbarheter.

Mer informasjon: Informasjonskapsler i Power Pages

Rapporten fra inntrengningstesten flagger levetidsslutt/foreldet programvare – Bootstrap 3. Hva bør jeg gjøre med det?

Det finnes ingen kjente sårbarheter i Bootstrap 3. Du kan imidlertid overføre nettstedet til Bootstrap 5.

Hvilke chiffreringer støtter Power Pages? Hva er veikartet for kontinuerlig overgang til sterkere chiffreringer?

Alle Microsoft-tjenester og -produkter er konfigurert til å bruke de godkjente chiffreringssamlingene, i nøyaktig den rekkefølgen som Microsoft Crypto Board har fremlagt.

Du finner den fullstendige listen og den nøyaktige rekkefølgen i Power Platform-dokumentasjonen.

Informasjon om avskrivninger av chiffreringssamlinger, meddeles via Viktige endringer-dokumentasjonen i Power Platform.

Hvorfor støtter Power Pages fortsatt RSA-CBC-chiffreringer (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 (0xC027) og TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) som regnes som svakere?

Microsoft veier den relative risikoen og avbrudd i kundedrfit i valg av chiffreringssamlinger som skal støttes. RSA-CBC-chiffreringsseriene er ikke brutt ennå. Vi har gjort det mulig for dem å sikre konsekvens på tvers av tjenestene og produktene, og for å støtte alle kundekonfigurasjoner, men de er nederst på listen over prioriteringer.

Vi avskriver chiffreringer basert på de kontinuerlige vurderingene til Microsofts Crypto Board.

Mer informasjon: Hvilke TLS 1.2-chiffreringsserier støttes av Power Pages?

Hvordan beskytter Power Pages mot DDoS-angrep (distribuert tjenestenektangrep)?

Power Pages er bygd på Microsoft Azure og bruker Azure DDoS Protection til å beskytte mot DDoS-angrep. Aktivering av OOB / tredjeparts Azure Front Door Service / brannmur for nettbaserte apper kan gi ekstra beskyttelse på nettstedet.

Mer informasjon:

Rapporten fra inntrengningstesten flagger sårbarhet i CKEditor. Hvordan begrenser jeg denne sårbarheten?

RTE PCF-kontrollen erstatter CKEditor snart. Hvis du vil begrense dette problemet før RTE PCF-kontrollen blir utgitt, deaktiverer du CKEditor ved å konfigurere nettstedsinnstillingen DisableCkEditorBundle = true. Et tekstfelt erstatter CKEditor når det er deaktivert.

Hvordan beskytter jeg nettstedet mot XSS-angrep?

Vi anbefaler at du foretar HTML-koding før du gjengir data fra en uklarert kilde.

Mer informasjon: Tilgjengelige kodingsfiltre.

Hvordan beskytter jeg nettstedet mitt mot injeksjonsangrep?

Som standard er funksjonen ASP.Net-forespørselsvalidering aktivert på Power Pages-skjemaer for å forhindre skriptinjeksjonsangrep. Hvis du oppretter ditt eget skjema ved hjelp av API, inneholder Power Pages flere tiltak for å forhindre injeksjonsangrep.

  • Sørg for riktig HTML-sanering når du håndterer brukerinndata fra et skjema eller en datakontroll som bruker nett-API.
  • Implementer inndata- og utdatasanering for alle inn- og utdata før du gjengir dem på siden. Dette inkluderer data hentet via Liquid/WebAPI eller satt inn / oppdatert i Dataverse gjennom disse kanalene.
  • Hvis spesielle kontroller er nødvendige før du setter inn eller oppdaterer skjemadata, kan du skrive programtillegg som kjøres for å validere data på serversiden.

Mer informasjon: Power Pages-sikkerhet.