Läs på engelska Redigera

Dela via


Vanliga frågor om Power Pages-säkerhet

Hur skyddar Power Pages mot klickkapning?

Klickkapning använder inbyggda iFrames, bland andra komponenter, för att skapa en användares interaktioner med en webbsida.
Power Pages innehåller HTTP/X-Frame-Options-webbplatsinställningar med standardinställningar för SAMEORIGIN som skyddar mot klickningar.

Mer information: Konfigurera HTTP-rubriker i Power Pages

Har Power Pages stöd för säkerhetspolicy för innehåll?

Power Pages ger stöd till säkerhetspolicy för innehåll (CSP). Omfattande tester rekommenderas när CSP har aktiverat på Power Pages-webbplatser.

Mer information finns i: Hantera webbplatsens säkerhetspolicy för innehåll

Kommer Power Pages stödja säkerhetsprincip för strikt HTTP-transport?

Som standard har du Power Pages stöd för omdirigeringar av HTTP till HTTPS. Om förfrågan har blockerats eller inte kontrollerar du om den blockeras på servicenivå i appen. Om en förfrågan inte lyckas (svarskod >= 400) är den ett falskt resultat.

Varför identifieras/rapporteras cookies utan HTTPOnly/SameSite-flaggor detekterade/rapporterade av penntestverktyg?

Power Pages anger HTTPOnly/SameSite-flagga för varje viktig cookie. Det finns vissa icke-kritiska cookies som HTTPOnly/SameSite inte är inställd på, och dessa bör inte betraktas som säkerhetsrisk.

Mer information: Cookies i Power Pages

Min Pen-testrapport flaggar slutet av livscykeln/inaktuell programvara – Bootstrap 3, Vad ska jag göra åt det?

Det finns inga kända säkerhetsproblem på Bootstrap 3. Du kan dock migrera webbplatsen till Bootstrap 5.

Vilka chiffer stöder Power Pages? Vad är färdplanen för att ständigt gå mot starkare chiffer?

Alla Microsoft-tjänster och -produkter är konfigurerade att använda de godkända krypteringschiffer i den exakta ordning som anges av Microsoft Crypto Board.

Den fullständiga listan och den exakta ordningen finns i Power Platform dokumentationen.

Information utfasningar av chiffersviter kommer att kommuniceras via Dokumentation om Viktiga ändringar i Power Platform.

Varför stöder Power Pages fortfarande RSA-CBC chiffer (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) och TLS_ECDHE_RSA_med_AES_256_CBC_SHA384 (0xC028)), vilka anses vara svagare?

Microsoft använder den relativa risken och kundstörningar när de väljer support för chiffersviter. RSA-CBC-chiffersvit har inte gått att bryta än. Vi har gjort det möjligt för dem att säkerställa enhetlighet i våra tjänster och produkter och att stödja alla kundkonfigurationer, men de är dock längst ner på prioriteringslistan.

Dessa chiffer kommer att tas bort baserat på Microsoft Crypto Board gör kontinuerliga utvärderingar.

Mer information: Vilka TLS 1.2-chiffersviter stöds av Power Pages?

Hur skyddar Power Pages mot distribuerade överbelastningsattacker (DDoS)?

Power Pages är skapat på och Microsoft Azure och använder Azure DDoS Protection att förhindra DDoS-angrepp. Om du aktiverar OOB/AFD från tredje part/WAF kan du också lägga till ytterligare skydd på webbplatsen.

Mer information:

Min penntestrapport flaggar sårbarhet i CKEditor. Hur undviker jag denna säkerhetsrisk?

RTE PCF-kontrollen ersätter snart CKEditor. Om du vill undvika det här problemet innan RTE PCF-kontrollens utgåva, inaktivera CKEditor genom att konfigurera platsinställningen DisableCkEditorBundle = sant. Ett textfält ersätter CKEditor när det är inaktiverat.

Hur skyddar jag min webbplats mot XSS-angrepp?

Vi rekommenderar att du utför HTML-kodning innan du återger data från en källa som inte är betrodd.

Mer information: Tillgängliga kodfilter.

Hur skyddar jag min webbplats från injektionsattacker?

Som standard är funktionen ASP.Net begäranvalidering aktiverad på Power Pages formulär för att förhindra skriptinjektionsattacker. Om du skapar ditt eget formulär med hjälp av API:t innehåller Power Pages flera åtgärder för att förhindra injektionsattacker.

  • Säkerställ korrekt HTML-sanering när du hanterar användarinmatning från ett formulär eller någon datakontroll som använder webb-API.
  • Implementera in- och utmatningssanering för alla in- och utdata innan du återger dem på sidan. Detta inkluderar data som hämtas via flytande/WebAPI eller infogas/uppdateras i Dataverse genom dessa kanaler.
  • Om speciella kontroller behövs innan du infogar eller uppdaterar formulärdata kan du skriva plugin-program som körs för att validera data på serversidan.

Mer information: Power Pages dokumentation om säkerhet.