อ่านในภาษาอังกฤษ แก้ไข

แชร์ผ่าน


คำถามที่ถามบ่อยเกี่ยวกับการรักษาความปลอดภัยของ Power Pages

Power Pages ช่วยป้องกันความเสี่ยง Clickjacking อย่างไร

Clickjacking ใช้ iFrames แบบฝังหรือองค์ประกอบอื่นๆ เพื่อจี้การโต้ตอบของผู้ใช้กับเว็บเพจ
Power Pages มีการตั้งค่าไซต์ HTTP/X-Frame-Options ด้วย SAMEORIGIN เริ่มต้นเพื่อป้องกันการโจมตี Clickjacking

ข้อมูลเพิ่มเติม: ตั้งค่าส่วนหัว HTTP ใน Power Pages

Power Pages รองรับนโยบายความปลอดภัยของเนื้อหาหรือไม่

Power Pages รองรับนโยบายความปลอดภัยของเนื้อหา (CSP) แนะนำให้ทำการทดสอบอย่างกว้างขวางหลังจากเปิดใช้งาน CSP บนเว็บไซต์ Power Pages

ข้อมูลเพิ่มเติม: จัดการนโยบายความปลอดภัยของเนื้อหาของไซต์ของคุณ

Does Power Pages รองรับนโยบาย HTTP Strict Transport Security หรือไม่

ตามค่าเริ่มต้น Power Pages รองรับการเปลี่ยนเส้นทางจาก HTTP เป็น HTTPS หากมีการตั้งค่าสถานะ ให้ตรวจสอบว่าคำขอถูกบล็อกที่ระดับการบริการของแอปหรือไม่ หากคำขอไม่สำเร็จ (รหัสตอบกลับ >= 400) ถือเป็นผลบวกลวง

เหตุใดคุกกี้ที่ไม่มีค่าสถานะ HTTPOnly/SameSite จึงตรวจพบ/รายงานโดยเครื่องมือทดสอบปากกา

Power Pages ตั้งค่าสถานะ HTTPOnly/SameSite ให้กับคุกกี้ที่สำคัญทุกรายการ มีคุกกี้ที่ไม่สำคัญบางรายการที่ไม่ได้ตั้งค่า HTTPOnly/SameSite และคุกกี้เหล่านี้ไม่ควรถือเป็นช่องโหว่

ข้อมูลเพิ่มเติม: คุกกี้ใน Power Pages

รายงานการทดสอบปากกาของฉันตั้งค่าสถานะว่าซอฟต์แวร์สิ้นสุดอายุการใช้งาน/ล้าสมัย – Bootstrap 3 ฉันควรทำอย่างไร

ไม่มีช่องโหว่ที่ทราบใน Bootstrap 3 อย่างไรก็ตาม คุณสามารถ ย้ายไซต์ของคุณไปยัง Bootstrap 5 ได้

ชุดการเข้ารหัสใดที่ Power Pages รองรับ แผนงานของการย้ายไปสู่ตัวเลขที่แข็งแกร่งขึ้นอย่างต่อเนื่องคืออะไร

บริการและผลิตภัณฑ์ของ Microsoft ทั้งหมดได้รับการกำหนดค่าให้ใช้ชุดการเข้ารหัสที่ได้รับอนุมัติในลำดับที่แน่นอนตามที่ Microsoft Crypto Board ระบุไว้

สำหรับรายการทั้งหมดและลำดับที่แน่นอน โปรดดูที่ คู่มือ Power Platform

ข้อมูลเกี่ยวข้องกับการเลิกใช้งานชุดการเข้ารหัสจะได้รับการสื่อสารผ่าน คู่มือการเปลี่ยนแปลงที่สำคัญของ Power Platform

ทำไม Power Pages ยังคงรองรับการเข้ารหัส RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) และ TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) ซึ่งถือว่าอ่อนแอกว่า

Microsoft ชั่งน้ำหนักความเสี่ยงที่เกี่ยวข้องและการหยุดชะงักของการดำเนินการลูกค้าในการเลือกการสนับสนุนชุดการเข้ารหัส ชุดการเข้ารหัส RSA-CBC ยังไม่ถูกทำลาย เราได้เปิดใช้งานเพื่อให้มั่นใจในความสอดคล้องในบริการและผลิตภัณฑ์ของเรา และเพื่อรองรับการกำหนดค่าของลูกค้าทั้งหมด อย่างไรก็ตาม รายการเหล่านี้อยู่ด้านล่างสุดของรายการลำดับความสำคัญ

เราจะยกเลิกชุดการเข้ารหัสตามการประเมินอย่างต่อเนื่องของ Crypto Board ของ Microsoft

ข้อมูลเพิ่มเติม: ชุดการเข้ารหัส TLS 1.2 ใดที่รองรับโดย Power Pages

Power Pages ป้องกันการโจมตี (DDoS) ของการปฏิเสธการให้บริการแบบกระจายอย่างไร

Power Pages ถูกสร้างขึ้นบน Microsoft Azure และใช้งาน Azure DDoS Protection เพื่อป้องกันการโจมตี DDoS นอกจากนี้ การเปิดใช้งาน OOB/AFD ของบุคคลที่สาม/WAF ยังช่วยเพิ่มการป้องกันบนเว็บไซต์อีกด้วย

ข้อมูลเพิ่มเติม:

รายงานการทดสอบปากกาของฉันกำลังทำเครื่องหมายช่องโหว่ใน CKEditor ฉันจะลดปัญหาช่องโหว่นี้ได้อย่างไร

ตัวควบคุม RTE PCF จะมาแทน CKEditor ในเร็วๆ นี้ หากคุณต้องการลดปัญหานี้ก่อนการเผยแพร่ตัวควบคุม RTE PCF ให้ปิดใช้งาน CKEditor โดยกำหนดการตั้งค่าไซต์ DisableCkEditorBundle = true ฟิลด์ข้อความจะแทนที่ CKEditor เมื่อปิดใช้งานแล้ว

ฉันจะป้องกันเว็บไซต์ของฉันจากการโจมตี XSS ได้อย่างไร?

เราขอแนะนำให้ทำการเข้ารหัส HTML ก่อนแสดงผลข้อมูลจากแหล่งที่ไม่น่าเชื่อถือ

ข้อมูลเพิ่มเติม: ตัวกรองการเข้ารหัสที่มีอยู่

ฉันจะป้องกันไซต์ของฉันจากการโจมตีแบบฉีดได้อย่างไร?

ตามค่าเริ่มต้น คุณลักษณะ ASP.Net คำขอการตรวจสอบความถูกต้อง จะถูกเปิดใช้งานบนแบบฟอร์ม Power Pages เพื่อป้องกันการโจมตีด้วยการแทรกสคริปต์ หากคุณกำลังสร้างแบบฟอร์มของคุณเองโดยใช้ API Power Pages จะรวมมาตรการต่างๆ ไว้เพื่อป้องกันการโจมตีแบบฉีด

  • ตรวจสอบให้แน่ใจว่ามีการฆ่าเชื้อ HTML อย่างเหมาะสมเมื่อจัดการอินพุตของผู้ใช้จากแบบฟอร์มหรือการควบคุมข้อมูลใดๆ ที่ใช้ Web API
  • ใช้การฆ่าเชื้ออินพุตและเอาต์พุตสำหรับข้อมูลอินพุตและเอาต์พุตทั้งหมดก่อนที่จะแสดงภาพบนเพจ ซึ่งรวมถึงข้อมูลที่ดึงผ่าน liquid/WebAPI หรือแทรก/อัปเดตลงใน Dataverse ผ่านช่องทางเหล่านี้
  • หากจำเป็นต้องมีการตรวจสอบพิเศษก่อนที่จะแทรกหรืออัปเดตข้อมูลในแบบฟอร์ม คุณสามารถเขียนปลั๊กอินที่ดำเนินการเพื่อตรวจสอบความถูกต้องของข้อมูลบนฝั่งเซิร์ฟเวอร์ได้

สำหรับข้อมูลเพิ่มเติม: ความปลอดภัยกระดาษเปล่า Power Pages