Clickjacking používa vložené prvky iFrame alebo iné komponenty na zneužitie interakcií používateľa s webovou stránkou.
Power Pages poskytuje nastavenia lokality HTTP/X-Frame-Options s predvoleným SAMEORIGINom na ochranu pred útokmi typu clickjacking.
Ďalšie informácie: Nastavenie hlavičiek HTTP na lokalitách Power Pages
Power Pages podporuje Politiku zabezpečenia obsahu (CSP). Po povolení CSP na webových lokalitách Power Pages sa odporúča rozsiahle testovanie.
Ďalšie informácie: Spravujte pravidlá zabezpečenia obsahu svojej lokality
V predvolenom nastavení Power Pages podporuje presmerovanie HTTP na HTTPS. Ak je označený, overte, či sa požiadavka blokuje na úrovni služieb aplikácie. Ak žiadosť nie je úspešná (kód odpovede >= 400), ide o nesprávne pozitívny výsledok.
Prečo sú súbory cookie bez príznakov HTTPOnly/SameSite zisťované/hlásené nástrojmi na testovanie pera?
Power Pages nastavuje príznaky HTTPOnly/SameSite pre každý kritický súbor cookie. Existujú niektoré nekritické súbory cookie, pre ktoré nie je nastavený protokol HTTPOnly/SameSite, a nemali by sa považovať za chybu zabezpečenia.
Ďalšie informácie: Súbory Cookie v Power Pages
Testovacia správa môjho pera signalizuje koniec životnosti/zastaraný softvér – Bootstrap 3. Čo s tým mám robiť?
Na Bootstrap 3 nie sú známe žiadne zraniteľné miesta; môžete však migrovať svoje stránky na Bootstrap 5.
Všetky služby a produkty spoločnosti Microsoft sú nakonfigurované na používanie schválených šifrovacích balíkov v presnom poradí podľa pokynov rady Microsoft Crypto Board.
Úplný zoznam a presné poradie nájdete v dokumentácii k Power Platform.
Informácie o ukončení podpory šifrovacích súprav sa oznamujú prostredníctvom dokumentácie Power Platform o dôležitých zmenách.
Prečo Power Pages ešte stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), ktoré sa považujú za slabšie?
Microsoft zvažuje relatívne riziko a narušenie zákazníckych operácií pri výbere šifrovacích balíkov, ktoré bude podporovať. Šifrovacie súpravy RSA-CBC ešte neboli prelomené. Povolili sme ich, aby sme zabezpečili konzistentnosť našich služieb a produktov a podporili všetky konfigurácie zákazníkov; nie sú však hlavnou prioritou.
Na základe neustáleho hodnotenia rady Microsoft Crypto Board prestávame šifry podporovať.
Ďalšie informácie: Ktoré šifrovacie sady TLS 1.2 sú podporované Power Pages?
Platforma Power Pages je postavená na Microsoft Azure a používa Azure DDoS Protection na ochranu pred DDoS útokmi. Povolenie OOB / AFD / WAF tretej strany môže pridať väčšiu ochranu na stránke.
Ďalšie informácie:
Riadenie RTE PCF čoskoro nahradí CKEditor. Ak chcete tento problém zmierniť pred vydaním ovládacieho prvku RTE PCF, vypnite CKEditor konfiguráciou nastavenia lokality DisableCkEditorBundle = true. Po zakázaní CKEditor nahradí textové pole.
Pred vykreslením údajov z nedôveryhodného zdroja odporúčame vykonať kódovanie HTML.
Ďalšie informácie: Dostupné filtre kódovania.
V predvolenom nastavení je vo formulároch povolená funkcia ASP.Net overenie žiadosti Power Pages , aby sa predišlo útokom vloženým skriptom. Ak vytvárate svoj vlastný formulár pomocou rozhrania API, Power Pages zahŕňa niekoľko opatrení na zabránenie injekčným útokom.
- Zabezpečte správnu dezinfekciu HTML pri manipulácii s užívateľským vstupom z formulára alebo akéhokoľvek ovládacieho prvku údajov, ktorý využíva webové rozhranie API.
- Implementujte vstupnú a výstupnú dezinfekciu všetkých vstupných a výstupných údajov pred ich vykreslením na stránke. To zahŕňa údaje načítané cez liquid/WebAPI alebo vložené/aktualizované do Dataverse prostredníctvom týchto kanálov.
- Ak sú potrebné špeciálne kontroly pred vložením alebo aktualizáciou údajov formulára, môžete napísať doplnky, ktoré sa spustia na overenie údajov na strane servera.
Viac informácií: Power Pages biela kniha o bezpečnosti.