Configurar cabeçalhos de segurança com o conjunto de regras Standard/Premium do Azure Front Door
Este artigo mostra como implementar cabeçalhos de segurança para impedir vulnerabilidades baseadas no navegador como HSTS (HTTP Strict-Transport-Security), X-XSS-Protection, Content-Security-Policy ou X-Frame-Options. Os atributos baseados em segurança também podem ser definidos com cookies.
O exemplo a seguir mostra como adicionar um cabeçalho Content-Security-Policy a todas as solicitações de entrada que correspondem ao caminho definido na rota. Aqui, só permitiremos a execução de scripts do nosso site confiável, https://contoso.azure-api.net , no aplicativo.
Pré-requisitos
- Antes de poder configurar os cabeçalhos de segurança, você deve primeiro criar um Front Door. Para saber mais, confira Início Rápido: Criar um Front Door.
- Examine como Configurar um conjunto de regras se você ainda não usou o recurso conjunto de regras antes.
Adicionar um cabeçalho Content-Security-Policy no portal do Azure
Vá para o perfil Standard/Premium do Azure Front Door e selecione Conjunto de Regras em Configurações.
Selecione Adicionar para adicionar um novo conjunto de regras. Dê ao conjunto de regras um Nome e forneça um Nome para a regra. Selecione Adicionar uma Ação e, em seguida, Cabeçalho de Resposta.
Defina o operador como Acrescentar para adicionar esse cabeçalho como uma resposta a todas as solicitações de entrada para essa rota.
Adicione o nome do cabeçalho: Content-Security-Policy e defina os valores que esse cabeçalho deverá aceitar. Neste cenário, escolhemos "script-src 'self' https://contoso.azure-api.net".
Depois de adicionar todas as regras que você deseja para a configuração, não se esqueça de associar o conjunto de rotas a uma rota. Essa etapa é necessária para permitir que o conjunto de rotas execute uma ação.
Observação
Neste cenário, não adicionamos condições de correspondência à regra. Todas as solicitações de entrada que corresponderem ao caminho definido na rota associada terão essa regra aplicada. Caso deseje que ela só se aplique a um subconjunto dessas solicitações, lembre-se de adicionar as condições de correspondência específicas a essa regra.
Limpar os recursos
Excluir uma regra
Nas etapas anteriores, você configurou o cabeçalho Content-Security-Policy com o conjunto de rotas. Se você não quiser mais uma regra, poderá selecionar o nome do conjunto de regras e, em seguida, selecionar Excluir regra.
Excluir um conjunto de regras
Se você quiser excluir um conjunto de regras, a desassocie de todas as rotas antes de excluir. Para obter orientações detalhadas sobre como excluir um conjunto de regras, veja Configurar o conjunto de regras.
Próximas etapas
Para saber como configurar um Firewall de Aplicativo Web para o Azure Front Door, veja Firewall de Aplicativo Web e Azure Front Door.