Klikdžeking koristi ugrađene iFrame elemente ili druge komponente za otimanje interakcija korisnika sa veb-stranicom.
Power Pages obezbeđuje HTTP/X-Frame-Options postavke lokacije sa podrazumevanim SAMEORIGIN-om za zaštitu od napada koji se ščekuju klikovima.
Još informacija: Podešavanje HTTP zaglavlja u usluzi Power Pages
Power Pages podržava bezbednosne smernice za sadržaj (CSP). Opsežno testiranje se preporučuje nakon omogućavanja CSP na Power Pages veb-lokacijama.
Više informacija: Upravljanje smernicama za bezbednost sadržaja vaše lokacije
Podrazumevano, Power Pages podržava HTTP na HTTPS preusmeravanja. Ako ste označeni zastavicom, proverite da li je zahtev blokiran na nivou usluge aplikacije. Ako to nije uspešan zahtev (šifra odgovora >= 400), to je lažno pozitivan rezultat.
Zašto se kolačići bez HTTPOnly/SameSite zastavica otkrivaju/prijavljuju pomoću alatki za testiranje proboja?
Power Pages postavlja HTTPOnly/SameSite zastavice za svaki kritični kolačić. Postoje neki nekritični kolačići za koje HTTPOnly/SameSite nije podešen, a ovi ne bi trebalo da se smatraju ranjivošću.
Još informacija: Kolačići u usluzi Power Pages
Moj test izveštaj olovkom označava kraj života/zastareli softver – Bootstrap 3. Šta da uradim povodom toga?
Na Bootstrap 3 ne postoje poznate ranjivosti; Međutim, možete da migrirate svoju lokaciju u Bootstrap 5.
Koje šifrovanje podržava usluga Power Pages? Koja je mapa puta koja se neprekidno kreće ka jačim šiframa?
Sve Microsoft usluge i proizvodi konfigurisani su da koriste odobrene pakete šifrovanja, tačnim redosledom koji je naložio Microsoft Crypto Board.
Kompletnu listu i tačan redosled potražite u Power Platform dokumentaciji.
Informacije o zastarevanju paketa za šifrovanje se prenose se putem dokumentacije o važnim promenama na platformi Power Platform.
Zašto Power Pages i dalje podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijim?
Microsoft odmerava relativni rizik i poremećaj u radu klijenata prilikom izbora paketa šifrovanja koje će podržavati. RSA-CBC paketi za šifrovanje još uvek nisu provaljeni. Omogućili smo ih da obezbede doslednost u svim našim uslugama i proizvodima i da podrže sve konfiguracije klijenata; međutim, oni se nalaze na dnu liste prioriteta.
Proglašavamo zastarelim šifre zasnovane na kontinuiranoj proceni odbora Microsoft Crypto Board.
Još informacija: Koje pakete za TLS 1.2 šifrovanje podržava usluga Power Pages?
Power Pages je izgrađen na platformi Microsoft Azure i koristi Azure DDoS zaštitu za odbranu od DDoS napada. Takođe, omogućavanje OOB/third-party AFD/WAF može da doda veću zaštitu na sajtu.
Još informacija:
RTE PCF kontrola uskoro zamenjuje CKEditor. Ako želite da ublažite ovaj problem pre objavljivanja RTE PCF kontrole, onemogućite CKEditor konfigurisanje postavke lokacije DisableCkEditorBundle = tačno. Tekstualno polje zamenjuje CKEditor kada se onemogući.
Preporučujemo da izvršite HTML kodiranje pre prikazivanja podataka iz nepouzdanog izvora.
Još informacija: Dostupni filteri za šifrovanje.
Funkcija provere valjanosti zahteva ASP.Net omogućena je u obrascima da bi se Power Pages sprečili napadi ubrizgavanja skripti. Ako kreirate sopstveni obrazac koristeći API, uključuje nekoliko Power Pages mera za sprečavanje napada ubrizgavanjem.
- Obezbedite odgovarajuću HTML sanaciju prilikom rukovanja korisničkim unosom iz obrasca ili bilo koje kontrole podataka koja koristi Web API.
- Primenite sanitarizaciju unosa i izlaza za sve ulazne i izlazne podatke pre nego što ih napravite na stranici. To uključuje podatke prenete putem tečnog/WebAPI-ja ili umetnute/ažurirane Dataverse putem ovih kanala.
- Ako su potrebne posebne provere pre umetanja ili ažuriranja podataka obrasca, možete da napišete dodatne komponente koje izvršavaju da biste proverili valjanost podataka na strani servera.
Više informacija: Power Pages sigurnosni beli papir.