Делите путем

Управљање смерницама за безбедност садржаја

  • Чланак

Напомена

Од 12. октобра 2022. Power Apps портали постају Power Pages. Више информација: Услуга Microsoft Power Pages је сада општедоступна (блог)
Ускоро ћемо мигрирати и објединити документацију о Power Apps порталима са документацијом о услузи Power Pages.

Смернице за безбедност садржаја (CSP) су додатни слој безбедности који помаже у откривању и ублажавању неких типова веб-напада као што су крађа података, кварење изгледа локације или дистрибуција малвера. CSP обезбеђује широк скуп директива смерница које помажу у контроли ресурса које страница локације сме да учита. Свака директива дефинише ограничења за одређени тип ресурса.

Када је CSP укључен за веб-локацију портала, он помаже у побољшању безбедности блокирањем веза, скрипти, фонтова и других типова ресурса који потичу из непознатих или злонамерних извора. CSP је подразумевано искључен у порталима; међутим, многе веб-локације могу захтевати CSP да би се побољшала друга безбедност.

За више информација о CSP-у посетите локацију Референца смерница за безбедност садржаја.

Конфигуришите CSP

  1. Пријавите се у Power Apps.

  2. Уверите се да се налазите у одговарајућем окружењу, где постоји ваш портал.

  3. У левом окну изаберите Апликације, а затим изаберите апликацију Управљање порталом.

    Опција менија „Апликације“ за Power Apps, када је изабрана апликација „Управљање порталом“.

  4. У левом окну изаберите Поставке локације.

  5. Креирајте (или ажурирајте) поставку локације HTTP/Content-Security-Policy и поставите вредности које су вам потребне са референтне странице CSP, раздвојене тачком и зарезом.

    Пример

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Опција менија „Поставке локације“ за Power Apps .

Омогући једнократни кључ

Омогућавање једнократног кључа (број који се користи једном) блокираће извршавање свих уметнутих скрипти осим оних наведених у уметнутој скрипти. Јединствени криптографски једнократни кључ се генерише и додаје свакој скрипти наведеној у заглављу CSP-а. У порталима, једнократни кључ подржава само уметнуте скрипте и уметнуте руковаоце догађајима. За више информација о једнократном кључу идите на Коришћење једнократног кључа са CSP-ом.

Да бисте омогућили једнократни кључ на порталима, додајте вредност script-src 'nonce'; у поставке локације HTTP/Content-Security-Policy.

Примери

Ако желите строгу смерницу и не желите да дозволите учитавање скрипти из извора изван портала, користите следеће:

script-src 'self' content.powerapps.com 'nonce'

Ако желите да учитате скрипте из било ког безбедног извора, користите следеће:

script-src https: 'nonce'

Напомена

  • Када је једнократни кључ омогућен, unsafe-eval ће се аутоматски убацити да би се подржала аутоматска процена небезбедног кода. Да бисте онемогућили аутоматско убацивање unsafe-eval, ажурирајте поставку локације HTTP/Content-Security-Policy/Inject-unsafe-eval на нетачно.
  • Ако је убацивање unsafe-eval онемогућено, провера ваљаности аутоматски генерисаних поља у основним или напредним обрасцима можда више неће исправно функционисати.