Klickkapning använder inbyggda iFrames, bland andra komponenter, för att skapa en användares interaktioner med en webbsida.
Power Pages innehåller HTTP/X-Frame-Options-webbplatsinställningar med standardinställningar för SAMEORIGIN som skyddar mot klickningar.
Mer information: Konfigurera HTTP-rubriker i Power Pages
Power Pages ger stöd till säkerhetspolicy för innehåll (CSP). Omfattande tester rekommenderas när CSP har aktiverat på Power Pages-webbplatser.
Mer information finns i: Hantera webbplatsens säkerhetspolicy för innehåll
Som standard har du Power Pages stöd för omdirigeringar av HTTP till HTTPS. Om förfrågan har blockerats eller inte kontrollerar du om den blockeras på servicenivå i appen. Om en förfrågan inte lyckas (svarskod >= 400) är den ett falskt resultat.
Varför identifieras/rapporteras cookies utan HTTPOnly/SameSite-flaggor detekterade/rapporterade av penntestverktyg?
Power Pages anger HTTPOnly/SameSite-flagga för varje viktig cookie. Det finns vissa icke-kritiska cookies som HTTPOnly/SameSite inte är inställd på, och dessa bör inte betraktas som säkerhetsrisk.
Mer information: Cookies i Power Pages
Min Pen-testrapport flaggar slutet av livscykeln/inaktuell programvara – Bootstrap 3, Vad ska jag göra åt det?
Det finns inga kända säkerhetsproblem på Bootstrap 3. Du kan dock migrera webbplatsen till Bootstrap 5.
Alla Microsoft-tjänster och -produkter är konfigurerade att använda de godkända krypteringschiffer i den exakta ordning som anges av Microsoft Crypto Board.
Den fullständiga listan och den exakta ordningen finns i Power Platform dokumentationen.
Information utfasningar av chiffersviter kommer att kommuniceras via Dokumentation om Viktiga ändringar i Power Platform.
Varför stöder Power Pages fortfarande RSA-CBC chiffer (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) och TLS_ECDHE_RSA_med_AES_256_CBC_SHA384 (0xC028)), vilka anses vara svagare?
Microsoft använder den relativa risken och kundstörningar när de väljer support för chiffersviter. RSA-CBC-chiffersvit har inte gått att bryta än. Vi har gjort det möjligt för dem att säkerställa enhetlighet i våra tjänster och produkter och att stödja alla kundkonfigurationer, men de är dock längst ner på prioriteringslistan.
Dessa chiffer kommer att tas bort baserat på Microsoft Crypto Board gör kontinuerliga utvärderingar.
Mer information: Vilka TLS 1.2-chiffersviter stöds av Power Pages?
Power Pages är skapat på och Microsoft Azure och använder Azure DDoS Protection att förhindra DDoS-angrepp. Om du aktiverar OOB/AFD från tredje part/WAF kan du också lägga till ytterligare skydd på webbplatsen.
Mer information:
RTE PCF-kontrollen ersätter snart CKEditor. Om du vill undvika det här problemet innan RTE PCF-kontrollens utgåva, inaktivera CKEditor genom att konfigurera platsinställningen DisableCkEditorBundle = sant. Ett textfält ersätter CKEditor när det är inaktiverat.
Vi rekommenderar att du utför HTML-kodning innan du återger data från en källa som inte är betrodd.
Mer information: Tillgängliga kodfilter.
Som standard är funktionen ASP.Net begäranvalidering aktiverad på Power Pages formulär för att förhindra skriptinjektionsattacker. Om du skapar ditt eget formulär med hjälp av API:t innehåller Power Pages flera åtgärder för att förhindra injektionsattacker.
- Säkerställ korrekt HTML-sanering när du hanterar användarinmatning från ett formulär eller någon datakontroll som använder webb-API.
- Implementera in- och utmatningssanering för alla in- och utdata innan du återger dem på sidan. Detta inkluderar data som hämtas via flytande/WebAPI eller infogas/uppdateras i Dataverse genom dessa kanaler.
- Om speciella kontroller behövs innan du infogar eller uppdaterar formulärdata kan du skriva plugin-program som körs för att validera data på serversidan.
Mer information: Power Pages dokumentation om säkerhet.