Clickjacking folosește iFrame încorporate sau alte componente pentru a deturna interacțiunile unui utilizator cu o pagină web.
Power Pages oferă setări ale site-ului HTTP/X-Frame-Options cu SAMEORIGIN implicit pentru a proteja împotriva atacurilor de tip clickjacking.
Mai multe informații: Configurați antete HTTP în Power Pages
Power Pages acceptă Politica de securitate a conținutului (PSC). Se recomandă testarea extensivă după activarea PSC pe site-urile web Power Pages.
Mai multe informații: Gestionați Politica de securitate a conținutului site-ului dvs
În mod implicit, Power Pages accepta redirecționări HTTP către HTTPS. Dacă este semnalată, verificați dacă solicitarea este blocată la nivelul serviciului aplicației. Dacă nu este o solicitare reușită (cod de răspuns >= 400), este un fals pozitiv.
De ce sunt cookie-urile fără steaguri HTTPOnly/SameSite detectate/raportate de instrumentele de testare a creionului?
Power Pages setează steaguri HTTPOnly/SameSite pentru fiecare cookie critic. Există câteva module cookie necritice pentru care HTTPOnly/SameSite nu este setat și acestea nu ar trebui considerate o vulnerabilitate.
Mai multe informații: Cookie-uri în Power Pages
Raportul de testare a creionului meu semnalează sfârșitul vieții/Software învechit – Bootstrap 3. Ce ar trebui să fac în privința asta?
Nu există vulnerabilități cunoscute pe Bootstrap 3; cu toate acestea, vă puteți migra site-ul la Bootstrap 5.
Ce cifruri acceptă Power Pages? Care este foaia de parcurs pentru deplasarea continuă către cifruri mai puternice?
Toate serviciile și produsele Microsoft sunt configurate pentru a utiliza suitele de cifruri aprobate, în ordinea exactă indicată de Microsoft Crypto Board.
Pentru lista completă și ordinea exactă, consultați documentația Power Platform.
Informațiile despre deprecierea suitelor de cifruri sunt comunicate prin documentația Modificări importante Power Platform .
De ce Power Pages încă acceptă cifrurile RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) și TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), care sunt considerate mai slabe?
Microsoft cântărește riscul relativ și întreruperea operațiunilor clienților în alegerea suitelor de cifruri pe care să le accepte. Suitele de cifruri RSA-CBC nu au fost încă rupte. Le-am permis să asigure coerența între serviciile și produsele noastre și să sprijine toate configurațiile clienților. Cu toate acestea, se află în partea de jos a listei de priorități.
Vom renunța la cifruri pe baza evaluării continue a Microsoft Crypto Board.
Mai multe informații: Ce suite cifru TLS 1.2 sunt acceptate de Power Pages?
Power Pages este construit bazat pe Microsoft Azure și folosește Azure DDoS Protection pentru a se proteja împotriva atacurilor DDoS. De asemenea, activarea OOB/AFD/WAF terță parte poate adăuga mai multă protecție pe site.
Informații suplimentare:
Raportul meu de testare Pen semnalează o vulnerabilitate în CKEditor. Cum pot atenua această vulnerabilitate?
RTE PCF control înlocuiește CKEditor în curând. Dacă doriți să atenuați această problemă înainte de lansarea controlului RTE PCF, dezactivați CKEditor configurând setarea site-ului DisableCkEditorBundle = true. Un câmp de text înlocuiește CKEditor odată ce este dezactivat.
Vă recomandăm să efectuați codificarea HTML înainte de a reda date dintr-o sursă neîncrezătoare.
Mai multe informații: Filtre de codificare disponibile.
În mod implicit, funcția ASP.Net validarea cererii este activată pe Power Pages formulare pentru a preveni atacurile prin injectare de scripturi. Dacă vă creați propriul formular folosind API-ul, Power Pages încorporează mai multe măsuri pentru a preveni atacurile prin injecție.
- Asigurați-vă igienizarea HTML corespunzătoare atunci când gestionați introducerea utilizatorului dintr-un formular sau orice control de date care utilizează API-ul web.
- Implementați igienizarea de intrare și ieșire pentru toate datele de intrare și de ieșire înainte de a le reda pe pagină. Acestea includ datele preluate prin lichid/WebAPI sau inserate/actualizate în Dataverse prin aceste canale.
- Dacă sunt necesare verificări speciale înainte de inserarea sau actualizarea datelor din formular, puteți scrie pluginuri care se execută pentru a valida datele din partea serverului.
Mai multe informații: Power Pages Cartea albă de securitate.