Ugrabljanje klikov uporablja vdelane elemente iFrame ali druge komponente za ugrabitev uporabnikove interakcije s spletno stranjo.
Power Pages ponuja nastavitve mesta HTTP/X-Frame-Options s privzetim SAMEORIGIN za zaščito pred napadi vgrajevanja klikov.
Več informacij: Nastavitev glav HTTP na portalih Power Pages
Power Pages podpira varnostni pravilnik za vsebino (CSP). Po omogočitvi CSP-ja na spletnih mestih Power Pages je priporočljivo obsežno testiranje.
Več informacij: Upravljajte pravilnik o varnosti vsebine vašega spletnega mesta
Privzeto Power Pages podpira preusmeritve HTTP na HTTPS. Če je označeno, preverite, ali se zahteva blokira na ravni storitve aplikacije. Če zahteva ni uspešna (odzivna koda >= 400), je lažno pozitivna.
Power Pages nastavi zastavice HTTPOnly/SameSite za vsak pomemben piškotek. Obstaja nekaj nekritičnih piškotkov, za katere možnost HTTPOnly/SameSite ni nastavljen, zato jih ne bi smeli obravnavati kot ranljivost.
Več informacij: Piškotki v Power Pages
Moje poročilo o preizkusu Pen je označeno z zastavico End of Life/Obsolete Software – Bootstrap 3. Kaj naj storim glede tega?
Na Bootstrap 3 ni znanih ranljivosti; lahko pa preselite svoje spletno mesto na Bootstrap 5.
Vse Microsoftove storitve in izdelki so konfigurirani za uporabo odobrenih zbirk šifer v natančnem vrstnem redu, ki ga vodi Microsoftov odbor za kriptovalute.
Za celoten seznam in natančen vrstni red si oglejte Power Platform dokumentacijo.
Informacije o opustitvi sklopov šifer so sporočene prek dokumentacije Pomembne spremembe za Power Platform.
Zakaj platforma Power Pages še vedno podpira šifre RSA-CBC (TLS_ECDHE_RSA_z AES_128_CBC_SHA256 (0xC027) in TLS_ECDHE_RSA_z_AES_256_CBC_SHA384 (0xC028)), ki veljajo za šibkejše?
Microsoft pri izbiri sklopov šifer, ki jih bo podpiral, pretehta relativno tveganje in motnje pri delovanju strank. Sklopov šifer RSA-CBC še nismo uničili. Omogočili smo jim, da zagotavljajo doslednost v naših storitvah in izdelkih ter podpirajo vse konfiguracije strank; vendar so na dnu prednostnega seznama.
Te šifre bomo opustili ob pravem času, na podlagi nenehnega ocenjevanja Microsoftovega odbora za kriptovalute.
Več informacij: Katere šifrirne zbirke TLS 1.2 so podprte na portalih Power Pages?
Power Pages temelji na Microsoft Azure in uporablja zaščito Azure DDoS za zaščito pred napadi DDoS. Prav tako lahko omogočite OOB/AFD/WAF tretjih oseb dodate več zaščite na spletnem mestu.
Več informacij:
Nadzor RTE PCF bo kmalu nadomestil CKEditor. Če želite to težavo ublažiti pred izdajo krmilnika RTE PCF, onemogočite CKEditor tako, da konfigurirate nastavitev mesta DisableCkEditorBundle = true. Besedilno polje nadomesti CKEditor, ko je onemogočen.
Priporočamo, da pred upodabljanjem podatkov iz nezaupljivega vira izvedete kodiranje HTML.
Več informacij: Razpoložljivi filtri za kodiranje.
Funkcija ASP.Net preverjanje zahteve je privzeto omogočena na Power Pages obrazcih za preprečevanje napadov z vstavljanjem skripta. Če ustvarjate svoj obrazec z uporabo API-ja, Power Pages vključuje več ukrepov za preprečevanje napadov z vbrizgavanjem.
- Zagotovite ustrezno čiščenje HTML pri obdelavi uporabniškega vnosa iz obrazca ali katerega koli nadzora podatkov, ki uporablja spletni API.
- Izvedite sanacijo vhodnih in izhodnih podatkov za vse vhodne in izhodne podatke, preden jih upodabljate na strani. To vključuje podatke, pridobljene prek fluid/WebAPI ali vstavljene/posodobljene v Dataverse prek teh kanalov.
- Če so pred vstavljanjem ali posodabljanjem podatkov obrazca potrebna posebna preverjanja, lahko napišete vtičnike, ki se izvajajo za preverjanje podatkov na strani strežnika.
Več informacij: Power Pages varnostna bela knjiga.