Gestionarea politicii de securitate a conținutului

  • Articol

Notă

Începând cu 12 octombrie 2022, portalurile Power Apps sunt Power Pages. Mai multe informații: Microsoft Power Pages este acum disponibil în general (blog)
În curând vom migra și vom îmbina documentația portalurilor Power Apps cu documentația Power Pages.

Politica de securitate a conținutului (CSP) este un nivel suplimentar de securitate care ajută la detectarea și atenuarea anumitor tipuri de atacuri web, cum ar fi furtul de date, deformarea site-ului sau distribuirea de malware. CSP oferă un set extins de directive de politică care ajută la controlul resurselor pe care o pagină de site poate să le încarce. Fiecare directivă definește restricțiile pentru un anumit tip de resursă.

Când CSP este activat pentru un site web de portaluri, ajută la îmbunătățirea securității prin blocarea conexiunilor, scripturilor, fonturilor și a altor tipuri de resurse care provin din surse necunoscute sau rău intenționate. CSP este dezactivat implicit în portaluri; cu toate acestea, multe site-uri web ar putea necesita CSP pentru a spori alte măsuri de securitate.

Pentru mai multe informații despre CSP, accesați Referință privind politica de securitate a conținutului.

Configurați CSP

  1. Conectați-vă la Power Apps.

  2. Asigurați-vă că vă aflați în mediul unde se află portalul dvs.

  3. În panoul stânga, selectați Aplicații, și apoi selectați aplicația Gestionare portal.

    Opțiunea de meniu Aplicații pentru Power Apps, cu aplicația Gestionare portal selectată.

  4. În panoul stânga, selectați Setări site.

  5. Creați (sau actualizați) configurarea de site HTTP/Content-Security-Policy și setați valorile de care aveți nevoie din pagina Referință CSP, separate prin punct și virgulă.

    Exemplu

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Opțiunea de meniu Setări site pentru Power Apps .

Activare nonce

Activare nonce (număr folosit o dată) va bloca executarea tuturor scripturilor în linie, cu excepția celor specificate în scriptul în linie. Un nonce criptografic unic este generat și adăugat fiecărui script specificat în antetul CSP. În portaluri, nonce acceptă numai scripturi în linie și rutine de tratare evenimente în linie. Pentru mai multe informații despre nonce, accesați Folosirea unui nonce cu CSP.

Pentru a activa nonce în portaluri, adăugați valoarea script-src 'nonce'; pentru setările de site HTTP/Content-Security-Policy.

Exemple

Dacă doriți o politică strictă și nu doriți să permiteți încărcarea scripturilor din surse din afara portalurilor, utilizați următoarele:

script-src 'self' content.powerapps.com 'nonce'

Dacă doriți să încărcați scripturi din orice sursă sigură, utilizați următoarele:

script-src https: 'nonce'

Notă

  • Când nonce este activat, unsafe-eval va fi injectat automat pentru a sprijini evaluarea automată a codului nesigur. Pentru a dezactiva injectarea automată a unsafe-eval, actualizați setarea site-ului HTTP/Content-Security-Policy/Inject-unsafe-eval la fals.
  • Dacă injectarea unsafe-eval este dezactivată, validarea câmpurilor generate automat este activată în formulare de bază sau avansate este posibil să nu mai funcționeze corect.