Configurar cabeçalhos de segurança com o conjunto de regras Standard/Premium do Azure Front Door

Este artigo mostra como implementar cabeçalhos de segurança para impedir vulnerabilidades baseadas no navegador como HSTS (HTTP Strict-Transport-Security), X-XSS-Protection, Content-Security-Policy ou X-Frame-Options. Os atributos baseados em segurança também podem ser definidos com cookies.

O exemplo a seguir mostra como adicionar um cabeçalho Content-Security-Policy a todas as solicitações de entrada que correspondem ao caminho definido na rota. Aqui, só permitiremos a execução de scripts do nosso site confiável, https://apiphany.portal.azure-api.net , no aplicativo.

Pré-requisitos

• Antes de poder configurar os cabeçalhos de segurança, você deve primeiro criar um Front Door. Para saber mais, confira Início Rápido: Criar um Front Door.
• Examine como Configurar um conjunto de regras se você ainda não usou o recurso conjunto de regras antes.

Adicionar um cabeçalho Content-Security-Policy no portal do Azure

1. Vá para o perfil Standard/Premium do Azure Front Door e selecione Conjunto de Regras em Configurações.

2. Selecione Adicionar para adicionar um novo conjunto de regras. Dê ao conjunto de regras um Nome e forneça um Nome para a regra. Selecione Adicionar uma Ação e, em seguida, Cabeçalho de Resposta.

3. Defina o operador como Acrescentar para adicionar esse cabeçalho como uma resposta a todas as solicitações de entrada para essa rota.

4. Adicione o nome do cabeçalho: Content-Security-Policy e defina os valores que esse cabeçalho deverá aceitar. Neste cenário, escolhemos "script-src 'self' https://apiphany.portal.azure-api.net".

5. Depois de adicionar todas as regras que você deseja para a configuração, não se esqueça de associar o conjunto de rotas a uma rota. Essa etapa é necessária para permitir que o conjunto de rotas execute uma ação.

Observação

Neste cenário, não adicionamos condições de correspondência à regra. Todas as solicitações de entrada que corresponderem ao caminho definido na rota associada terão essa regra aplicada. Caso deseje que ela só se aplique a um subconjunto dessas solicitações, lembre-se de adicionar as condições de correspondência específicas a essa regra.

Limpar os recursos

Excluir uma regra

Nas etapas anteriores, você configurou o cabeçalho Content-Security-Policy com o conjunto de rotas. Se você não quiser mais uma regra, poderá selecionar o nome do conjunto de regras e, em seguida, selecionar Excluir regra.

Excluir um conjunto de regras

Se você quiser excluir um conjunto de regras, a desassocie de todas as rotas antes de excluir. Para obter orientações detalhadas sobre como excluir um conjunto de regras, veja Configurar o conjunto de regras.

Próximas etapas

Para saber como configurar um Firewall de Aplicativo Web para o Azure Front Door, veja Firewall de Aplicativo Web e Azure Front Door.