Кликџекинг користи уграђене iFrame елементе или друге компоненте за отимање интеракција корисника са веб-страницом.
Power Pages обезбеђује ХТТП/X-Фраме-Оптионс поставке локације са подразумеваним САМЕОРИГИН-ом за заштиту од напада који се шчекују кликовима.
Још информација: Подешавање HTTP заглавља у услузи Power Pages
Power Pages подржава безбедносне смернице за садржај (CSP). Опсежно тестирање се препоручује након омогућавања CSP на Power Pages веб-локацијама.
Више информација: Управљање смерницама за безбедност садржаја ваше локације
Подразумевано, Power Pages подржава ХТТП на ХТТПС преусмеравања. Ако сте означени заставицом, проверите да ли је захтев блокиран на нивоу услуге апликације. Ако то није успешан захтев (шифра одговора >= 400), то је лажно позитиван резултат.
Зашто се колачићи без HTTPOnly/SameSite заставица откривају/пријављују помоћу алатки за тестирање пробоја?
Power Pages поставља HTTPOnly/SameSite заставице за сваки критични колачић. Постоје неки некритични колачићи за које HTTPOnly/SameSite није подешен, а ови не би требало да се сматрају рањивошћу.
Још информација: Колачићи у услузи Power Pages
Мој тест извештај оловком означава крај живота/застарели софтвер – Боотстрап 3. Шта да урадим поводом тога?
На Боотстрап 3 не постоје познате рањивости; Међутим, можете да мигрирате своју локацију у Боотстрап 5.
Које шифровање подржава услуга Power Pages? Која је мапа пута која се непрекидно креће ка јачим шифрама?
Све Microsoft услуге и производи конфигурисани су да користе одобрене пакете шифровања, тачним редоследом који је наложио Microsoft Crypto Board.
Комплетну листу и тачан редослед потражите у Power Platform документацији.
Информације о застаревању пакета за шифровање се преносе се путем документације о важним променама на платформи Power Platform.
Зашто Power Pages и даље подржава RSA-CBC шифре (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) и TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), које се сматрају слабијим?
Microsoft одмерава релативни ризик и поремећај у раду клијената приликом избора пакета шифровања које ће подржавати. RSA-CBC пакети за шифровање још увек нису проваљени. Омогућили смо их да обезбеде доследност у свим нашим услугама и производима и да подрже све конфигурације клијената; међутим, они се налазе на дну листе приоритета.
Проглашавамо застарелим шифре засноване на континуираној процени одбора Microsoft Crypto Board.
Још информација: Које пакете за TLS 1.2 шифровање подржава услуга Power Pages?
Power Pages је изграђен на платформи Microsoft Azure и користи Azure DDoS заштиту за одбрану од DDoS напада. Такође, омогућавање ООБ/тхирд-партy АФД/WАФ може да дода већу заштиту на сајту.
Више информација:
РТЕ ПЦФ контрола ускоро замењује ЦКЕдитор. Ако желите да ублажите овај проблем пре објављивања РТЕ ПЦФ контроле, онемогућите ЦКЕдитор конфигурисање поставке локације ДисаблеЦкЕдиторБундле = тачно. Текстуално поље замењује CKEditor када се онемогући.
Препоручујемо да извршите ХТМЛ кодирање пре приказивања података из непоузданог извора.
Још информација: Доступни филтери за шифровање.
Функција провере ваљаности захтева #пии_ијфидејз омогућена је у обрасцима да би се Power Pages спречили напади убризгавања скрипти. Ако креирате сопствени образац користећи АПИ, укључује неколико Power Pages мера за спречавање напада убризгавањем.
- Обезбедите одговарајућу ХТМЛ санацију приликом руковања корисничким уносом из обрасца или било које контроле података која користи Wеб АПИ.
- Примените санитаризацију уноса и излаза за све улазне и излазне податке пре него што их направите на страници. То укључује податке пренете путем течног/WебАПИ-ја или уметнуте/ажуриране Dataverse путем ових канала.
- Ако су потребне посебне провере пре уметања или ажурирања података обрасца, можете да напишете додатне компоненте које извршавају да бисте проверили ваљаност података на страни сервера.
Више информација: Power Pages сигурносни бели папир.