Upravljanje varnostnega pravilnika za vsebino
Opomba
Od 12. oktobra 2022 najprej je portal Power Apps Power Pages. Več informacij: Microsoft Power Pages je zdaj splošno dostopen (spletni dnevnik)
Dokumentacijo portalov Power Apps bomo kmalu preselili in združili z dokumentacijo za Power Pages.
Varnostni pravilnik za vsebino (CSP) je dodatna plast varnosti, ki pomaga odkriti in ublažiti nekatere vrste spletnih napadov, kot so kraja podatkov, ponarejanje spletnega mesta ali distribucija zlonamerne programske opreme. CSP ponuja obsežen nabor direktiv pravilnika, ki pomagajo nadzorovati vire, ki jih stran spletnega mesta lahko naloži. Vsaka direktiva določa omejitve za določeno vrsto vira.
Ko je CSP vklopljen za spletno mesto portala, pomaga izboljšati varnost z blokiranjem povezav, skriptov, pisav in drugih vrst virov, ki izvirajo iz neznanih ali zlonamernih virov. CSP je v portalih privzeto izklopljen; vendar pa lahko veliko spletnih mest zahteva CSP za izboljšanje druge varnosti.
Za več informacij o CSP preberite Referenco varnostnega pravilnika za vsebino.
Konfiguriranje protokola CSP
Vpišite se v storitev Power Apps.
Prepričajte se, da ste v okolju, v katerem obstaja vaš portal.
V levem podoknu izberite Aplikacije, nato pa izberite aplikacijo Upravljanje portala.
V levem podoknu izberite Nastavitve mesta.
Ustvarite (ali posodobite) nastavitev mesta HTTP/Content-Security-Policy in nastavite vrednosti, ki jih potrebujete s strani Referenca CSP, ločene s podpičji.
Primer
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Omogoči nonce
Omogočanje nonce (enkrat uporabljena številka) bo blokiralo izvajanje vseh vrstičnih skriptov, razen tistih, ki so navedeni v vrstičnem skriptu. Edinstveni kriptografski nonce se ustvari in doda vsakemu skriptu, določenem v glavi CSP. V portalih nonce podpira samo vrtične skripte in rutine za obravnavo dogodkov v vrstici. Za več informacij o nonce pojdite na Uporaba nonce s CSP.
Če želite omogočiti nonce v portalih, dodajte vrednost script-src 'nonce'; nastavitvam mesta HTTP/Content-Security-Policy.
Primeri
Če želite strog pravilnik in ne želite dovoliti nalaganja skripta iz virov zunaj portalov, uporabite naslednje:
script-src 'self' content.powerapps.com 'nonce'
Če želite naložiti skripte iz katerega koli varnega vira, uporabite naslednje:
script-src https: 'nonce'
Opomba
- Ko je nonce omogočen, bo unsafe-eval samodejno vstavljen v podporo samodejnemu ocenjevanju nevarne kode. Če želite onemogočiti samodejno vstavljanje unsafe-eval, posodobite nastavitev mesta HTTP/Content-Security-Policy/Inject-unsafe-eval na false.
- Če je vstavljanje unsafe-eval onemogočeno, preverjanje veljavnosti samodejno ustvarjenih polj na obrazcih osnovni ali napredni morda ne bo več delovalo pravilno.
Povratne informacije
Kmalu na voljo: V letu 2024 bomo ukinili storitev Težave v storitvi GitHub kot mehanizem za povratne informacije za vsebino in jo zamenjali z novim sistemom za povratne informacije. Za več informacij si oglejte: https://aka.ms/ContentUserFeedback.
Pošlji in prikaži povratne informacije za