Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
[Acest articol este documentație de prelansare și poate suferi modificări.]
Spațiul de lucru Security îți permite să protejezi suplimentar conținutul site-ului și datele de amenințările de securitate, direct din Power Pages Design Studio. Folosește setările avansate pentru a configura rapid și eficient anteturile HTTP ale site-ului tău, a configura Politica de securitate a conținutului (CSP), partajarea resurselor între origini (CORS), cookie-urile, permisiunile și multe altele.
Important
- Aceasta este o caracteristică de previzualizare.
- Caracteristicile în regim de previzualizare nu sunt destinate utilizării în producție și pot avea funcționalități restricționate. Aceste funcții sunt supuse unor termeni de utilizare suplimentari și sunt disponibile înainte de lansarea oficială, astfel încât clienții să poată avea acces timpuriu și să ofere feedback.
- Conectați-vă la Power Pages și deschideți site-ul pentru editare.
- Selectați Spațiu de lucru pentru securitate din meniul de navigare din stânga, apoi alegeți Setări avansate (previzualizare).
Configurați politica de securitate a conținutului (CSP)
Politica de securitate a conținutului (CSP) este utilizată de serverele web pentru a impune un set de reguli de securitate pentru o pagină web. Ajută la protejarea site-urilor de diverse tipuri de atacuri de securitate, cum ar fi cross-site scripting (XSS), injecția de date și alte atacuri de injection de cod.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere |
|---|---|
| Sursă implicită | Specifică sursa implicită pentru conținutul care nu este definit explicit de alte directive. Acționează ca o soluție de rezervă pentru alte directive. |
| Sursa imaginii | Specifică sursele valide pentru imagini și controlează domeniile din care pot fi încărcate imaginile. |
| Sursă fonturi | Specifică surse valide pentru fonturi. Folosit pentru a controla domeniile din care pot fi încărcate fonturi web. |
| Sursă script | Specifică surse valide pentru codul JavaScript. Sursa scriptului poate include domenii specifice și "self" pentru aceeași origine. Alege dacă activezi nonce sau injectezi o evaluare nesigură. |
| Sursă stil | Specifică surse valide pentru foile de stil. Similar cu script-src, poate include domenii și "self". |
| Conectați sursa | Specifică surse valide pentru XMLHttpRequest, WebSocket sau EventSource. Controlează domeniile către care pagina poate face solicitări de rețea. |
| Sursă media | Specifică surse valide pentru audio și video. Folosit pentru a controla domeniile din care pot fi încărcate resursele media. |
| Sursă cadre | Specifică surse valide pentru cadre. Controlează domeniile din care pagina poate încorpora cadre. |
| Strămoșii cadrului | Specifică surse valide care pot încorpora pagina curentă ca un cadru. Controlează domeniile cărora li se permite să încorporeze pagina. |
| Acțiune formular | Specifică surse valide pentru trimiterea formularelor. Definește domeniile către care pot fi trimise datele formularului. |
| Sursă obiect | Specifică surse valide pentru resursele elementului obiect, cum ar fi fișiere Flash sau alte obiecte încorporate. Ajută la controlul originilor de la care pot fi încărcate aceste obiecte. |
| Sursă lucrător | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul originilor din care pot fi încărcate și executate aceste scripturi worker. |
| Sursă manifest | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul originilor din care pot fi încărcate și executate aceste scripturi worker. |
| Sursă fiu | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul originilor din care pot fi încărcate și executate aceste scripturi worker. |
Pentru fiecare directivă, puteți alege fie o adresă URL specifică, fie toate domeniile, fie niciuna.
Pentru configurarea avansată, accesați Gestionați politica de securitate a conținutului site-ului dvs.: Setați CSP-ul site-ului dvs..
Configurați partajarea resurselor între origini (CORS)
Partajarea resurselor între origini (CORS) este utilizată de browserele web pentru a permite sau restricționa aplicațiilor web care rulează într-un domeniu să solicite și să acceseze resurse dintr-un alt domeniu.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere | Valori |
|---|---|---|
| Permiteți accesarea resurselor de pe server | Cunoscută și sub denumirea de Access-Control-Allow-Origin, ajută serverul să decidă căror origini li se permite accesul la resurse. Originile pot fi domenii, protocoale și porturi. | Alegeți adresele URL ale domeniului |
| Trimiteți anteturi în timpul solicitărilor către server | Cunoscut și sub numele de Access-Control-Allow-Headers, ajută la stabilirea anteturilor care pot fi trimise prin solicitări cu altă origine pentru a accesa resursele de pe server. | Alegeți anteturi specifice cu următoarele permisiuni Origine Acceptare Autorizare Conținut – tip |
| Expuneți valorile din anteturi în codul de pe partea clientului | Cunoscută și sub denumirea de Access-Control-Expose-Headers, această directivă instruiește browserul cu privire la anteturile de răspuns care ar trebui expuse și făcute accesibile codului client-side solicitant în cererile cross-origin. | Alegeți anteturi specifice cu următoarele permisiuni Origine Acceptare Autorizare Conținut – tip |
| Definiți metodele de accesare a resurselor | Cunoscută și sub denumirea de Access-Control-Allow-Methods, ajută la definirea metodelor HTTP permise la accesarea resurselor de pe un server dintr-o altă origine. | GET - Solicită date de la o resursă specificată POST - Trimite date pentru a fi procesate către o resursă specificată PUT - Actualizează sau înlocuiește o resursă la un URL specific HEAD - La fel ca GET, dar preia doar anteturile și nu conținutul real PATCH - Modifică parțial o resursă OPTIONS - Solicită informații despre opțiunile de comunicare disponibile pentru o resursă sau un server DELETE - Șterge resursa specificată |
| Specificați durata de memorare în cache a rezultatelor solicitării | Cunoscut și sub numele de Access-Control-Max-Age, ajută la stabilirea duratei în care rezultatele unei solicitări de verificare preliminară pot fi memorate în cache de browser. | Specificați durata în timp (secunde) |
| Permiteți site-ului să partajeze acreditări | Cunoscută și sub numele de Access-Control-Allow-Credentials, ajută la stabilirea dacă site-ul poate partaja acreditări, precum module cookie, anteturi de autorizare sau certificate SSL de pe partea clientului, în timpul solicitărilor de origine încrucișată. | Da/Nu |
| Afișați pagina web ca iFrame cu aceeași origine | Cunoscut și sub numele de X-Frame-Options, permite afișarea paginii într-un iframe numai dacă solicitarea are aceeași origine. | Da/Nu |
| Blocați detectarea MIME | Cunoscut și sub numele de X-Content-Type-Options: no-sniff, acesta ajută la împiedicarea browserelor să detecteze tipul MIME (tip de conținut) sau să ghicească tipul de conținut al unei resurse. | Da/Nu |
Configurați cookie-urile (CSP)
Antetul Cookie dintr-o solicitare HTTP conține informații despre cookie-urile stocate anterior de un site web în browserul dvs. Când vizitați un site web, browserul dvs. trimite înapoi serverului un antet Cookie care conține toate cookie-urile relevante asociate cu site-ul respectiv.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere | Antet |
|---|---|---|
| Reguli de transfer pentru toate modulele cookie | Controlează modul în care sunt trimise cookie-urile cu solicitări cross-origine. Este o caracteristică de securitate menită să atenueze anumite tipuri de atacuri de tip cross-site request forgery (CSRF) și de scurgere de informații. | Această setare corespunde antetului SameSite/Default. |
| Reguli de transfer pentru anumite module cookie | Controlează modul în care sunt trimise cookie-urile cu solicitări cross-origine. Este o caracteristică de securitate menită să atenueze anumite tipuri de atacuri de tip cross-site request forgery (CSRF) și de scurgere de informații. | Această setare corespunde antetului cookie-ului SameSite/Specific. |
Configurați politica de permisiuni (CSP)
Antetul Permissions-Policy permite dezvoltatorilor web să controleze ce funcții ale platformei web sunt permise sau refuzate pe o pagină web.
Directive
Următoarele directive sunt acceptate și controlează accesul la API-urile respective.
- Accelerometer
- Ambient-Light-Sensor
- Redați automat
- Battery
- Camera
- Afișare
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocație
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfon
- Midi
- Otp-Credentials
- Plată
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurați mai multe anteturi HTTP
Permiteți conexiunea securizată prin HTTPS
Setarea corespunzătoare antetului HTTP Strict-Transport-Security informează browserul că ar trebui să se conecteze la site-ul web doar prin HTTPS, chiar dacă utilizatorul introduce „http:// „în bara de adrese. Ajută la prevenirea atacurilor de tip man-in-the-middle, asigurându-se că toate comunicările cu serverul sunt criptate și protejează împotriva anumitor tipuri de atacuri, cum ar fi atacurile de downgrade de protocol și deturnarea cookie-urilor.
Notă
Din motive de securitate, această setare nu poate fi modificată.
Includeți informații despre referitor în anteturile HTTP
Antetul Referrer-Policy HTTP controlează câtă informație despre originea cererii (informații de referent) este dezvăluită în anteturile HTTP atunci când un utilizator navighează de la o pagină la alta. Acest antet ajută la controlul aspectelor de confidențialitate și securitate legate de informațiile sursă.
| Valoare | Descriere |
|---|---|
| Niciun nume de gazdă de referință | „Fără referitor” înseamnă că nu sunt trimise informații despre referitor în anteturi. Această setare este opțiunea cea mai respectuoasă din punct de vedere al confidențialității. |
| Niciun nume de gazdă de referință când se face downgrade | Trimite informații complete despre referitor atunci când se navighează de pe un site HTTPS pe un site HTTP, dar doar originea (fără cale sau interogare) atunci când se navighează între site-uri HTTPS. |
| Aceeași origine - Politica de referință | Aceeași origine trimite informațiile complete despre referitor numai atunci când solicitarea este către aceeași origine. Pentru solicitările cu origini multiple, se trimite doar originea. |
| Origine | Origin trimite originea referitorului, dar nu și informații despre cale sau interogare, atât pentru cererile de aceeași origine, cât și pentru cele de origine încrucișată. |
| Origine strictă | Similară cu originea, dar trimite informații despre numele gazdei de referință numai pentru solicitările cu aceeași origine. |
| Originea când este încrucișată | Similară cu originea, dar trimite informații despre numele gazdei de referință numai pentru solicitările cu aceeași origine. |