Klikknapping bruker innebygde iFrames eller andre komponenter til å kapre en brukers samhandlinger med en nettside.
Power Pages har nettstedsinnstillinger for HTTP/X-Frame-Options med standard SAMEORIGIN for å beskytte mot klikknappingsangrep.
Mer informasjon: Konfigurere HTTP-hoder i Power Pages
Power Pages støtter for sikkerhetspolicy for innhold. Vi anbefaler at du foretar omfattende testing etter at du har aktivert sikkerhetspolicy for innhold på Power Pages-nettsteder.
Mer informasjon: Behandle nettstedets sikkerhetspolicy for innhold
Power Pages støtter som standard omadressering fra http til https. Hvis forespørselen flagges, kontrollerer du om den blokkeres på App Service-nivå. Hvis forespørselen ikke er vellykket (svarkode >= 400), er den en falsk positiv.
Hvorfor oppdages/rapporteres informasjonskapsler uten HTTPOnly/SameSite-flagg av verktøy for inntrengningstesting?
Power Pages angir HTTPOnly/SameSite-flagg for hver kritiske informasjonskapsel. Det finnes enkelte ikke-kritiske informasjonskapsler som HTTPOnly/SameSite ikke angis for, og disse bør ikke betraktes som sårbarheter.
Mer informasjon: Informasjonskapsler i Power Pages
Rapporten fra inntrengningstesten flagger levetidsslutt/foreldet programvare – Bootstrap 3. Hva bør jeg gjøre med det?
Det finnes ingen kjente sårbarheter i Bootstrap 3. Du kan imidlertid overføre nettstedet til Bootstrap 5.
Hvilke chiffreringer støtter Power Pages? Hva er veikartet for kontinuerlig overgang til sterkere chiffreringer?
Alle Microsoft-tjenester og -produkter er konfigurert til å bruke de godkjente chiffreringssamlingene, i nøyaktig den rekkefølgen som Microsoft Crypto Board har fremlagt.
Du finner den fullstendige listen og den nøyaktige rekkefølgen i Power Platform-dokumentasjonen.
Informasjon om avskrivninger av chiffreringssamlinger, meddeles via Viktige endringer-dokumentasjonen i Power Platform.
Hvorfor støtter Power Pages fortsatt RSA-CBC-chiffreringer (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 (0xC027) og TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) som regnes som svakere?
Microsoft veier den relative risikoen og avbrudd i kundedrfit i valg av chiffreringssamlinger som skal støttes. RSA-CBC-chiffreringsseriene er ikke brutt ennå. Vi har gjort det mulig for dem å sikre konsekvens på tvers av tjenestene og produktene, og for å støtte alle kundekonfigurasjoner, men de er nederst på listen over prioriteringer.
Vi avskriver chiffreringer basert på de kontinuerlige vurderingene til Microsofts Crypto Board.
Mer informasjon: Hvilke TLS 1.2-chiffreringsserier støttes av Power Pages?
Power Pages er bygd på Microsoft Azure og bruker Azure DDoS Protection til å beskytte mot DDoS-angrep. Aktivering av OOB / tredjeparts Azure Front Door Service / brannmur for nettbaserte apper kan gi ekstra beskyttelse på nettstedet.
Mer informasjon:
Rapporten fra inntrengningstesten flagger sårbarhet i CKEditor. Hvordan begrenser jeg denne sårbarheten?
RTE PCF-kontrollen erstatter CKEditor snart. Hvis du vil begrense dette problemet før RTE PCF-kontrollen blir utgitt, deaktiverer du CKEditor ved å konfigurere nettstedsinnstillingen DisableCkEditorBundle = true. Et tekstfelt erstatter CKEditor når det er deaktivert.
Vi anbefaler at du foretar HTML-koding før du gjengir data fra en uklarert kilde.
Mer informasjon: Tilgjengelige kodingsfiltre.
Som standard er funksjonen ASP.Net-forespørselsvalidering aktivert på Power Pages-skjemaer for å forhindre skriptinjeksjonsangrep. Hvis du oppretter ditt eget skjema ved hjelp av API, inneholder Power Pages flere tiltak for å forhindre injeksjonsangrep.
- Sørg for riktig HTML-sanering når du håndterer brukerinndata fra et skjema eller en datakontroll som bruker nett-API.
- Implementer inndata- og utdatasanering for alle inn- og utdata før du gjengir dem på siden. Dette inkluderer data hentet via Liquid/WebAPI eller satt inn / oppdatert i Dataverse gjennom disse kanalene.
- Hvis spesielle kontroller er nødvendige før du setter inn eller oppdaterer skjemadata, kan du skrive programtillegg som kjøres for å validere data på serversiden.
Mer informasjon: Power Pages-sikkerhet.