Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
Politica de securitate a conținutului (CSP) este un nivel suplimentar de securitate care ajută la detectarea și atenuarea anumitor tipuri de atacuri web, cum ar fi furtul de date, deformarea site-ului sau distribuirea de malware. CSP oferă un set extins de directive de politică care ajută la controlul resurselor pe care o pagină de site poate să le încarce. Fiecare directivă definește restricțiile pentru un anumit tip de resursă.
Când CSP este activat pentru un site Power Pages, ajută la sporirea securității site-ului prin blocarea conexiunilor, scripturilor, fonturilor și a altor tipuri de resurse care provin din surse necunoscute sau rău intenționate.
În mod implicit, CSP este dezactivat. Cu toate acestea, site-urile web ar putea necesita CSP pentru a spori alte măsuri de securitate.
Utilizați aplicația Gestionare portal pentru a gestiona CSP.
Selectați CSP pentru site-ul dvs.
Conectați-vă la Power Pages și deschideți site-ul dvs. pentru editare.
În panoul din stânga, selectați Mai multe articole (…) >Gestionare portal.
În panoul din stânga al aplicației Gestionare portal, selectați Setările site-ului.
Creați sau editați setarea de site HTTP/Content-Security-Policy.
Setați valorile de care aveți nevoie din Referință CSP, separate prin punct și virgulă; de exemplu,
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Activarea nonce
Un nonce reprezintă un cod, de obicei numeric, care este menit să fie folosit o singură dată („număr o dată”). Când utilizați un nonce cu CSP-ul site-ului dvs., un cod criptografic unic este generat și adăugat fiecărui script specificat în antetul CSP. Numai scripturile inline cu atribut nonce care se potrivește cu cel din CSP au permisiunea să ruleze. Scripturile pe care un atacator le-ar fi putut injecta în pagină sunt blocate deoarece nu includ atributul nonce. Aflați mai multe despre utilizarea unui nonce cu CSP.
În site-uri Power Pages, nonce acceptă numai scripturi inline și handlere de evenimente inline.
Pentru a activa nonce pentru site-ul dvs., adăugați valoarea script-src „nonce”; setarea site-ului HTTP/Content-Security-Policy. Urmează câteva exemple.
Dacă doriți o politică strictă care să nu permită încărcarea scripturilor din surse din afara unui site Power Pages, adăugați următoarea valoare la setarea site-ului HTTP/Content-Security-Policy:
script-src 'self' content.powerapps.com 'nonce'Dacă doriți să încărcați scripturi din orice sursă securizată, adăugați următoarea valoare:
script-src https: 'nonce'
Când nonce este activat, unsafe-eval este injectat pentru a sprijini evaluarea automată a codului nesigur. Pentru a dezactiva injectarea automată a unsafe-eval, modificați setarea site-ului HTTP/Content-Security-Policy/Inject-unsafe-eval la False. Rețineți că dacă injecția unsafe-eval este dezactivată, validarea câmpurilor generate automat în formularele de bază sau cu mai mulți pași s-ar putea să nu mai funcționeze corect.