Кликджекинг использует встроенные iFrame или другие компоненты для перехвата взаимодействия пользователя с веб-страницей.
Power Pages предоставляет настройки сайта HTTP/X-Frame-Options с SAMEORIGIN по умолчанию для защиты от кликджекинга.
Дополнительная информация: Настройка заголовков HTTP в Power Pages
Power Pages поддерживает политику безопасности политика контента (CSP). После включения CSP на веб-сайтах Power Pages рекомендуется провести тщательное тестирование.
Дополнительные сведения: Управление политикой безопасности контента вашего сайта
По умолчанию Power Pages поддерживает перенаправление HTTP на HTTPS. Если этот флажок установлен, проверьте, блокируется ли запрос на уровне службы приложений. Если это не успешный запрос (код ответа >= 400), это ложноположительный результат.
Почему файлы cookie без флагов HTTPOnly/SameSite обнаруживаются/сообщаются инструментами тестов пера?
Power Pages устанавливает флаги HTTPOnly/SameSite для каждого критического файла cookie. Существуют некоторые некритические файлы cookie, для которых флаг HTTPOnly/SameSite не устанавливается, и их не следует считать уязвимостью.
Дополнительные сведения: Файлы Cookie в Power Pages
В моем отчете о тесте пера указано, что срок службы программного обеспечения закончился/программное обеспечение устарело — Bootstrap 3. Что мне с этим делать?
В Bootstrap 3 нет известных уязвимостей, однако вы можете перенести свой сайт на Bootstrap 5.
Какие шифры поддерживаются в Power Pages? Какова дорожная карта постоянного развития в направлении более надежных шифров?
Все службы и продукты Microsoft настроены на использование утвержденных наборов шифров в точном порядке, как указано Microsoft Crypto Board.
Полный список и точный порядок см. в документации Power Platform.
Обо всех изменениях, связанных с прекращением поддержки наборов шифров, будет сообщено в документации Power Platform «Важные изменения».
Почему Power Pages по-прежнему поддерживают шифры RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) и TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), которые считаются более слабыми?
Корпорация Майкрософт взвешивает относительный риск и сбои в работе клиентов при выборе поддержки наборов шифров. Наборы шифров RSA-CBC еще не взломаны. Мы позволили им обеспечить согласованность наших услуг и продуктов, а также поддержку всех пользовательских конфигураций; однако они находятся снизу списка приоритетов.
Шифры будут объявлены устаревшими на основе непрерывной оценки Microsoft Crypto Board.
Дополнительные сведения: Какие наборы шифров TLS 1.2 поддерживаются Power Pages?
Power Pages построен на Microsoft Azure и использует защиту от атак DDoS Azure для защиты от атак DDoS. Кроме того, включение OOB/стороннего AFD/WAF может повысить уровень защиты сайта.
Подробнее:
Элемент управления RTE PCF скоро заменит CKEditor. Если вы хотите устранить эту проблему до выпуска элемента управления RTE PCF, отключите CKEditor, настроив параметр сайта DisableCkEditorBundle = true. Текстовое поле заменяет CKEditor после его отключения.
Мы рекомендуем выполнить кодирование HTML перед отображением данных из ненадежного источника.
Больше информации: Доступные фильтры кодирования.
По умолчанию в формах Power Pages включена функция проверки запроса ASP.Net для предотвращения атак путем внедрения скриптов. Если вы создаете свою собственную форму с использованием API, в Power Pages предусмотрено несколько мер для предотвращения атак путем внедрения.
- Обеспечьте надлежащую очистку HTML при обработке пользовательского ввода из формы или любого элемента управления данными, использующего веб-API.
- Реализуйте очистку всех входных и выходных данных перед их отрисовкой на странице. Это относится в том числе к данным, получаемым через Liquid/WebAPI, или вставляемым/обновляемым в Dataverse через эти каналы.
- Если перед вставкой или обновлением данных формы необходимы специальные проверки, вы можете написать подключаемые модули, которые будут выполняться для проверки данных на стороне сервера.
Дополнительные сведения: Технический документ по безопасности Power Pages