Clickjacking ใช้ iFrames แบบฝังหรือองค์ประกอบอื่นๆ เพื่อจี้การโต้ตอบของผู้ใช้กับเว็บเพจ
Power Pages มีการตั้งค่าไซต์ HTTP/X-Frame-Options ด้วย SAMEORIGIN เริ่มต้นเพื่อป้องกันการโจมตี Clickjacking
ข้อมูลเพิ่มเติม: ตั้งค่าส่วนหัว HTTP ใน Power Pages
Power Pages รองรับนโยบายความปลอดภัยของเนื้อหา (CSP) แนะนำให้ทำการทดสอบอย่างกว้างขวางหลังจากเปิดใช้งาน CSP บนเว็บไซต์ Power Pages
ข้อมูลเพิ่มเติม: จัดการนโยบายความปลอดภัยของเนื้อหาของไซต์ของคุณ
ตามค่าเริ่มต้น Power Pages รองรับการเปลี่ยนเส้นทางจาก HTTP เป็น HTTPS หากมีการตั้งค่าสถานะ ให้ตรวจสอบว่าคำขอถูกบล็อกที่ระดับการบริการของแอปหรือไม่ หากคำขอไม่สำเร็จ (รหัสตอบกลับ >= 400) ถือเป็นผลบวกลวง
Power Pages ตั้งค่าสถานะ HTTPOnly/SameSite ให้กับคุกกี้ที่สำคัญทุกรายการ มีคุกกี้ที่ไม่สำคัญบางรายการที่ไม่ได้ตั้งค่า HTTPOnly/SameSite และคุกกี้เหล่านี้ไม่ควรถือเป็นช่องโหว่
ข้อมูลเพิ่มเติม: คุกกี้ใน Power Pages
รายงานการทดสอบปากกาของฉันตั้งค่าสถานะว่าซอฟต์แวร์สิ้นสุดอายุการใช้งาน/ล้าสมัย – Bootstrap 3 ฉันควรทำอย่างไร
ไม่มีช่องโหว่ที่ทราบใน Bootstrap 3 อย่างไรก็ตาม คุณสามารถ ย้ายไซต์ของคุณไปยัง Bootstrap 5 ได้
ชุดการเข้ารหัสใดที่ Power Pages รองรับ แผนงานของการย้ายไปสู่ตัวเลขที่แข็งแกร่งขึ้นอย่างต่อเนื่องคืออะไร
บริการและผลิตภัณฑ์ของ Microsoft ทั้งหมดได้รับการกำหนดค่าให้ใช้ชุดการเข้ารหัสที่ได้รับอนุมัติในลำดับที่แน่นอนตามที่ Microsoft Crypto Board ระบุไว้
สำหรับรายการทั้งหมดและลำดับที่แน่นอน โปรดดูที่ คู่มือ Power Platform
ข้อมูลเกี่ยวข้องกับการเลิกใช้งานชุดการเข้ารหัสจะได้รับการสื่อสารผ่าน คู่มือการเปลี่ยนแปลงที่สำคัญของ Power Platform
ทำไม Power Pages ยังคงรองรับการเข้ารหัส RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) และ TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) ซึ่งถือว่าอ่อนแอกว่า
Microsoft ชั่งน้ำหนักความเสี่ยงที่เกี่ยวข้องและการหยุดชะงักของการดำเนินการลูกค้าในการเลือกการสนับสนุนชุดการเข้ารหัส ชุดการเข้ารหัส RSA-CBC ยังไม่ถูกทำลาย เราได้เปิดใช้งานเพื่อให้มั่นใจในความสอดคล้องในบริการและผลิตภัณฑ์ของเรา และเพื่อรองรับการกำหนดค่าของลูกค้าทั้งหมด อย่างไรก็ตาม รายการเหล่านี้อยู่ด้านล่างสุดของรายการลำดับความสำคัญ
เราจะยกเลิกชุดการเข้ารหัสตามการประเมินอย่างต่อเนื่องของ Crypto Board ของ Microsoft
ข้อมูลเพิ่มเติม: ชุดการเข้ารหัส TLS 1.2 ใดที่รองรับโดย Power Pages
Power Pages ถูกสร้างขึ้นบน Microsoft Azure และใช้งาน Azure DDoS Protection เพื่อป้องกันการโจมตี DDoS นอกจากนี้ การเปิดใช้งาน OOB/AFD ของบุคคลที่สาม/WAF ยังช่วยเพิ่มการป้องกันบนเว็บไซต์อีกด้วย
ข้อมูลเพิ่มเติม:
ตัวควบคุม RTE PCF จะมาแทน CKEditor ในเร็วๆ นี้ หากคุณต้องการลดปัญหานี้ก่อนการเผยแพร่ตัวควบคุม RTE PCF ให้ปิดใช้งาน CKEditor โดยกำหนดการตั้งค่าไซต์ DisableCkEditorBundle = true ฟิลด์ข้อความจะแทนที่ CKEditor เมื่อปิดใช้งานแล้ว
เราขอแนะนำให้ทำการเข้ารหัส HTML ก่อนแสดงผลข้อมูลจากแหล่งที่ไม่น่าเชื่อถือ
ข้อมูลเพิ่มเติม: ตัวกรองการเข้ารหัสที่มีอยู่
ตามค่าเริ่มต้น คุณลักษณะ ASP.Net คำขอการตรวจสอบความถูกต้อง จะถูกเปิดใช้งานบนแบบฟอร์ม Power Pages เพื่อป้องกันการโจมตีด้วยการแทรกสคริปต์ หากคุณกำลังสร้างแบบฟอร์มของคุณเองโดยใช้ API Power Pages จะรวมมาตรการต่างๆ ไว้เพื่อป้องกันการโจมตีแบบฉีด
- ตรวจสอบให้แน่ใจว่ามีการฆ่าเชื้อ HTML อย่างเหมาะสมเมื่อจัดการอินพุตของผู้ใช้จากแบบฟอร์มหรือการควบคุมข้อมูลใดๆ ที่ใช้ Web API
- ใช้การฆ่าเชื้ออินพุตและเอาต์พุตสำหรับข้อมูลอินพุตและเอาต์พุตทั้งหมดก่อนที่จะแสดงภาพบนเพจ ซึ่งรวมถึงข้อมูลที่ดึงผ่าน liquid/WebAPI หรือแทรก/อัปเดตลงใน Dataverse ผ่านช่องทางเหล่านี้
- หากจำเป็นต้องมีการตรวจสอบพิเศษก่อนที่จะแทรกหรืออัปเดตข้อมูลในแบบฟอร์ม คุณสามารถเขียนปลั๊กอินที่ดำเนินการเพื่อตรวจสอบความถูกต้องของข้อมูลบนฝั่งเซิร์ฟเวอร์ได้
สำหรับข้อมูลเพิ่มเติม: ความปลอดภัยกระดาษเปล่า Power Pages