Clickjacking usa iframes incorporados, entre outros componentes, para sequestrar as interações de um usuário com uma página da Web.
O Power Pages fornece configurações do site HTTP/X-Frame-Options com SAMEORIGIN padrão para proteger contra ataques de clickjacking.
Mais informações: Configurar cabeçalhos HTTP no Power Pages
O Power Pages dá suporte à Política de Segurança de Conteúdo (CSP). Testes extensivos são recomendados após ativar o CSP em sites do Power Pages.
Mais informações: Gerenciar a Política de Segurança de Conteúdo do seu site
Por padrão, o Power Pages é compatível com redirecionamentos de HTTP para HTTPS. Se sinalizado, verifique se a solicitação está sendo bloqueada ou não no Nível de Serviço de Aplicativo. Se não for uma solicitação bem-sucedida (código de resposta >= 400), é um falso positivo.
Por que os cookies sem sinalizadores HTTPOnly/SameSite são detectados/relatados pelas ferramentas de teste de caneta?
O Power Pages define sinalizadores HTTPOnly/SameSite para cada cookie crítico. Existem alguns cookies não críticos para os quais HTTPOnly/SameSite não está definido e estes não devem ser considerados uma vulnerabilidade.
Mais informações: Cookies no Power Pages
Meu relatório de teste de Caneta está sinalizando Fim da Vida Útil/Software Obsoleto – Bootstrap 3. O que devo fazer a respeito?
Não há vulnerabilidades conhecidas no Bootstrap 3; no entanto, você pode migrar seu site para o Bootstrap 5.
Para quais criptografias o Power Pages oferece suporte? Qual é o roteiro para avançar continuamente em direção a criptografias mais fortes?
Todos os serviços e produtos da Microsoft são configurados para usar os pacotes de criptografia aprovados, na ordem exata indicada pela Microsoft Crypto Board.
Para obter a lista completa e a ordem exata, consulte a Documentação do Power Platform.
Informações sobre descontinuações de pacotes de criptografia são comunicadas por meio da Documentação de Alterações Importantes do Power Platform.
Por que o Power Pages ainda dá suporte às criptografias RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que são consideradas mais fracas?
A Microsoft avalia o risco relativo e a interrupção às operações do cliente ao escolher os pacotes de criptografia para dar suporte. Os pacotes de criptografia RSA-CBC ainda não foram corrompidos. Nós os habilitamos para garantir consistência em todos os nossos serviços e produtos e para oferecer suporte a todas as configurações do cliente, porém eles estão na parte inferior da lista de prioridade.
Descontinuaremos essas criptografias no momento certo, com base nas avaliações contínuas da Microsoft Crypto Board.
More information: Quais conjuntos de criptografia TLS 1.2 são compatíveis com o Power Pages?
O Power Pages baseia-se no Microsoft Azure e usa Proteção contra DDoS do Azure para proteger contra ataques de DDoS. Além disso, a ativação de OOB/AFD/WAF de terceiros pode adicionar mais proteção ao site.
Para obter mais informações:
Meu relatório de teste de Caneta está sinalizando vulnerabilidade no CKEditor. Como posso mitigar essa vulnerabilidade?
O controle de PCF de RTE substituirá o CKEditor em breve. Se você quiser mitigar esse problema antes da liberação do controle de PCF de RTE, desative o CKEditor configurando a definição do site DisableCkEditorBundle = true. Um campo de texto substitui o CKEditor quando ele é desativado.
Recomendamos realizar a codificação HTML antes de codificar dados de uma fonte não confiável.
Mais Informações: Filtros de codificação disponíveis.
Por padrão, o recurso validação de solicitação ASP.Net está ativado em formulários do Power Pages para evitar ataques de injeção de script. Se você estiver criando seu próprio formulário usando a API, o Power Pages incorpora diversas medidas para evitar ataques de injeção.
- Garanta a limpeza de HTML adequada ao lidar com a entrada do usuário em um formulário ou qualquer controle de dados que utilize API da Web.
- Implemente a higienização de entrada e saída para todos os dados de entrada e saída antes de renderizá-los na página. Isso inclui dados obtidos via Liquid/WebAPI ou inseridos/atualizados no Dataverse por meio desses canais.
- Se forem necessárias verificações especiais antes de inserir ou atualizar os dados do formulário, você pode gravar plug-ins que são executados para validar os dados no lado do servidor.
More information: White paper de segurança do Power Pages.