Beveiligingsbeleid voor inhoud beheren

  • Artikel

Notitie

Met ingang van 12 oktober 2022 wordt Power Apps-portals hernoemd tot Power Pages. Meer informatie: Microsoft Power Pages is nu algemeen beschikbaar (blog)
We zullen binnenkort de documentatie voor Power Apps-portals migreren en samenvoegen met Power Pages-documentatie.

Inhoudsbeveiligingsbeleid is een extra beveiligingslaag die helpt bij het detecteren en beperken van bepaalde soorten webaanvallen, zoals gegevensdiefstal, het beschadigen van sites of de verspreiding van malware. Inhoudsbeveiligingsbeleid biedt een uitgebreide set beleidsrichtlijnen om te bepalen welke resources een sitepagina mag laden. Elke richtlijn definieert de beperkingen voor een specifiek type resource.

Wanneer inhoudsbeveiligingsbeleid is ingeschakeld voor een portalwebsite, helpt het de beveiliging te verbeteren door verbindingen, scripts, lettertypen en andere typen resources te blokkeren die afkomstig zijn van onbekende of schadelijke bronnen. Inhoudsbeveiligingsbeleid is standaard uitgeschakeld in portals, maar voor veel websites is inhoudsbeveiligingsbeleid vereist om andere beveiliging te verbeteren.

Ga voor meer informatie over beveiligingsbeleid voor inhoud naar Naslaginformatie over beveiligingsbeleid voor inhoud.

Inhoudsbeveiligingsbeleid configureren

  1. Meld u aan bij Power Apps.

  2. Zorg ervoor dat u zich in de omgeving bevindt waar uw portal bestaat.

  3. Selecteer in het linkerdeelvenster de optie Apps en selecteer vervolgens de Portalbeheer-app.

    De menuoptie Apps voor Power Apps met de app Portalbeheer geselecteerd

  4. Selecteer Site-instellingen in het linkerdeelvenster.

  5. Maak de site-instelling HTTP/Content-Security-Policy (of werk deze bij) en stel, gescheiden door puntkomma's, de door u benodigde waarden in vanaf de pagina Naslaginformatie over beveiligingsbeleid voor inhoud.

    Voorbeeld

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    De menuoptie Site-instellingen voor Power Apps.

Nonce inschakelen

Als u nonce (number used once) inschakelt, wordt de uitvoering van alle inline scripts geblokkeerd, behalve die opgegeven in het inline script. Er wordt een unieke cryptografische nonce gegenereerd en toegevoegd aan elk script opgegeven in de CSP-header. De nonce in portals ondersteunt alleen inline scripts en inline gebeurtenishandlers. Ga voor meer informatie over nonce naar Een nonce gebruiken met CSP.

Als u nonce wilt inschakelen in Portals, voegt u de waarde script-src 'nonce'; toe aan de site-instellingen HTTP/Content-Security-Policy.

Voorbeelden

Als u een strikt beleid wilt en het laden van scripts van bronnen buiten portals niet wilt toestaan, gebruikt u het volgende:

script-src 'self' content.powerapps.com 'nonce'

Als u scripts van elke veilige bron wilt laden, gebruikt u het volgende:

script-src https: 'nonce'

Notitie

  • Wanneer nonce is ingeschakeld, wordt unsafe-eval automatisch geïnjecteerd om automatische evaluatie van onveilige code te ondersteunen . Als u de automatische injectie van unsafe-eval wilt uitschakelen, werkt u de instelling HTTP/Content-Security-Policy/Inject-unsafe-eval bijwerken naar onwaar.
  • Als de injectie van unsafe-eval is uitgeschakeld, werkt de validatie van automatisch gegenereerde velden voor basis- of geavanceerde formulieren mogelijk niet meer correct.