Управљање смерницама за безбедност садржаја
Напомена
Од 12. октобра 2022. Power Apps портали постају Power Pages. Више информација: Услуга Microsoft Power Pages је сада општедоступна (блог)
Ускоро ћемо мигрирати и објединити документацију о Power Apps порталима са документацијом о услузи Power Pages.
Смернице за безбедност садржаја (CSP) су додатни слој безбедности који помаже у откривању и ублажавању неких типова веб-напада као што су крађа података, кварење изгледа локације или дистрибуција малвера. CSP обезбеђује широк скуп директива смерница које помажу у контроли ресурса које страница локације сме да учита. Свака директива дефинише ограничења за одређени тип ресурса.
Када је CSP укључен за веб-локацију портала, он помаже у побољшању безбедности блокирањем веза, скрипти, фонтова и других типова ресурса који потичу из непознатих или злонамерних извора. CSP је подразумевано искључен у порталима; међутим, многе веб-локације могу захтевати CSP да би се побољшала друга безбедност.
За више информација о CSP-у посетите локацију Референца смерница за безбедност садржаја.
Конфигуришите CSP
Пријавите се у Power Apps.
Уверите се да се налазите у одговарајућем окружењу, где постоји ваш портал.
У левом окну изаберите Апликације, а затим изаберите апликацију Управљање порталом.
У левом окну изаберите Поставке локације.
Креирајте (или ажурирајте) поставку локације HTTP/Content-Security-Policy и поставите вредности које су вам потребне са референтне странице CSP, раздвојене тачком и зарезом.
Пример
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Омогући једнократни кључ
Омогућавање једнократног кључа (број који се користи једном) блокираће извршавање свих уметнутих скрипти осим оних наведених у уметнутој скрипти. Јединствени криптографски једнократни кључ се генерише и додаје свакој скрипти наведеној у заглављу CSP-а. У порталима, једнократни кључ подржава само уметнуте скрипте и уметнуте руковаоце догађајима. За више информација о једнократном кључу идите на Коришћење једнократног кључа са CSP-ом.
Да бисте омогућили једнократни кључ на порталима, додајте вредност script-src 'nonce'; у поставке локације HTTP/Content-Security-Policy.
Примери
Ако желите строгу смерницу и не желите да дозволите учитавање скрипти из извора изван портала, користите следеће:
script-src 'self' content.powerapps.com 'nonce'
Ако желите да учитате скрипте из било ког безбедног извора, користите следеће:
script-src https: 'nonce'
Напомена
- Када је једнократни кључ омогућен, unsafe-eval ће се аутоматски убацити да би се подржала аутоматска процена небезбедног кода. Да бисте онемогућили аутоматско убацивање unsafe-eval, ажурирајте поставку локације HTTP/Content-Security-Policy/Inject-unsafe-eval на нетачно.
- Ако је убацивање unsafe-eval онемогућено, провера ваљаности аутоматски генерисаних поља у основним или напредним обрасцима можда више неће исправно функционисати.