Przeczytaj w języku angielskim Edytuj

Udostępnij za pośrednictwem


Zabezpieczenia usługi Power Pages — często zadawane pytania

W jaki sposób Power Pages pomaga chronić się przed zagrożeniami Clickjacking?

Przejmowanie kliknięć (clickjacking) polega na stosowania elementów iFrames lub innych składników w celu przejęcia interakcji użytkownika ze stroną sieci Web.
Program Power Pages udostępnia ustawienia witryny HTTP/X-Frame-Options z domyślną przeglądarką SAMEORIGIN w celu ochrony przed atakami polegającymi na przejmowaniu kliknięć (clickjacking).

Więcej informacji: Konfigurowanie nagłówków HTTP w usłudze Power Pages

Czy Power Pages obsługuje politykę bezpieczeństwa treści (CSP)?

Power Pages obsługuje zasady zabezpieczeń zawartości (CSP) Po włączeniu usług CSP w witrynach internetowych Power Pages zaleca się gruntowne przetestowanie.

Aby uzyskać więcej informacji, zobacz: Zarządzanie zasadami zabezpieczeń dotyczących witryny

Czy w Power Pages dostępne są zasady zabezpieczeń transportu HTTP?

Domyślnie Power Pages obsługuje przekierowywania HTTP do HTTPS. Jeśli żądanie jest oflagowane, sprawdź, czy żądanie jest blokowane na poziomie usługi aplikacji. Jeśli żądanie nie zakończyło się pomyślne (kod odpowiedzi >= 400), jest to wynik fałszywie dodatni.

Dla każdego krytycznego pliku cookie Power Pages ustawia flagi HTTPOnly/SameSite. W niektórych niekrytycznych plikach cookie flagi HTTPOnly/SameSite nie są ustawione i nie powinno to być traktowane jako luka w zabezpieczeniach.

Więcej informacji: Pliki cookie w Power Pages

Mój raport testowy jest oflagowany przez Koniec obsługi/Przestarzałe oprogramowanie – Bootstrap 3. Co mam z tym robić?

W funkcji ładowania początkowego w wersji 3 nie ma znanych luk w zabezpieczeniach, można jednak migrować witrynę do ładowania początkowego w wersji 5.

Jakie szyfrowania obsługuje usługa Power Pages? Jaka jest mapa drogowa ciągłego przechodzenia w kierunku silniejszych szyfrów?

Wszystkie usługi i produkty firmy Microsoft są skonfigurowane do korzystania z zatwierdzonych zestawów szyfrowania, w dokładnej kolejności, o której mowa na tablicy Microsoft Crypto.

Pełną listę i dokładne zamówienie można znaleźć w dokumentacji Power Platform.

Wszelkie zmiany związane z wycofywaniem zestawu szyfrowania będą przekazywane w dokumentacji Ważne zmiany w dokumentacji usługi Power Platform.

Dlaczego Power Pages nadal obsługuje szyfry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), które są uważane za słabsze?

Wybierając zestawy szyfrów, które mają być obsługiwane, Microsoft bierze pod uwagę względne ryzyko i zakłócenia w pracy klientów. Zestawy szyfrów RSA-CBC nie zostały jeszcze złamane. Zagwarantowaliśmy spójność usług i produktów oraz obsługę wszystkich konfiguracji klientów. Jednak są one na dole listy priorytetów.

Pomijamy metody szyfrowania w oparciu o ciągłą ocenę zespołu Microsoft Crypto Board'.

Więcej informacji: Które zestawy szyfrowania TLS 1.2 są obsługiwane przez Power Pages?

Jak chronić Power Pages przed rozproszonymi odmowami dostępu do usługi (DDoS)?

Usługa Power Pages jest zbudowany na platformie Microsoft Azure i używa usługi Azure DDoS Protection do ochrony przed atakami DDoS. Włączenie funkcji OOB/usług AFD/WAF innych firm może także zapewniać większą ochronę w witrynie.

Więcej informacji:

Mój raport testu jest oflagowany przez Luka w zabezpieczeniach CKEditor. Jak zmniejszyć ryzyko związane z tą luką w zabezpieczeniach?

Kontrolka RTE PCF wkrótce zastąpi CKEditor. Aby złagodzić ten problem przed wydaniem kontrolki RTE PCF, należy wyłączyć funkcję CKEditor, konfigurując ustawienie witryny DisableCkEditor Pased = true. Po wyłączeniu pole tekstowe zastępuje CKEditor.

Jak chronić witrynę internetową przed atakami XSS?

Zaleca się wykonanie kodowań HTML przed renderowaniem danych z niezaufanego źródła.

Więcej informacji: Dostępne filtry kodowań.

Jak chronić swoją witrynę przed atakami typu „wstrzykiwanie”?

Domyślnie funkcja żądania walidacji ASP.NET jest włączona w formularzach Power Pages, aby zapobiec atakom polegającym na wstrzykiwaniu skryptu. Jeśli tworzysz własny formularz za pomocą API, Power Pages zawiera kilka środków zapobiegających atakom polegającym na wstrzykiwaniu.

  • Zapewnij odpowiednie oczyszczanie kodu HTML podczas obsługi danych wejściowych użytkownika z formularza lub dowolnej kontroli danych wykorzystującej internetowy interfejs API.
  • Zaimplementuj oczyszczanie danych wejściowych i wyjściowych dla wszystkich danych wejściowych i wyjściowych przed wyświetleniem ich na stronie. Obejmuje to dane pobrane przez Liquid/WebAPI lub wstawione/zaktualizowane w Dataverse za pośrednictwem tych kanałów.
  • Jeśli przed wstawieniem lub aktualizacją danych w formularzu wymagane są specjalne kontrole, możesz napisać wtyczki, które będą uruchamiane w celu walidacji danych po stronie serwera.

Więcej informacji: Oficjalny dokument dotyczący zabezpieczeń usługi Power Pages.