Tıklama kaçırma, kullanıcının bir web sayfasıyla etkileşimlerini ele geçirmek için gömülü iFrame'ler veya diğer bileşenleri kullanır.
Power Pages tıklama saldırılarına karşı korunmak için HTTP/X-Frame-Options site ayarlarını varsayılan SAMEORIGIN ile sağlar.
Daha fazla bilgi: Power Pages'da HTTP üstbilgilerini ayarlama
Power Pages CSP/İçerik Güvenlik İlkesi'ni (CSP) destekler. Power Pages Web sitelerinde CSP etkinleştirildikten sonra kapsamlı testler önerilir.
Daha fazla bilgi: Sitenizin İçerik Güvenliği İlkesini yönetme
Varsayılan olarak, Power Pages HTTP'yi HTTPS yönlendirmelerine destekler. Bayraklıysa, isteğin Uygulama Servis Düzeyinde engellenip engellenmediğini doğrulayın. İstek başarılı değilse (yanıt kodu >= 400), hatalı pozitiftir.
HTTPOnly/SameSite bayrakları olmayan tanımlama bilgileri sızma testi araçları tarafından neden algılandı/raporlandı?
Power Pages, her kritik tanımlama bilgisi için HTTPOnly/SameSite bayrakları ayarlar. HTTPOnly/SameSite'nin ayarlanmadığı bazı kritik olmayan tanımlama bilgileri vardır ve bunlar bir güvenlik açığı olarak kabul edilmemelidir.
Daha fazla bilgi: Power Pages içindeki tanımlama bilgileri
Sızma testi raporum Kullanım Ömrü Sonu/Kullanımdan Kalkan Yazılım – Bootstrap 3'e işaret ediyor. Bu konuda ne yapmalıyım?
Bootstrap 3'te bilinen güvenlik açığı yoktur; bununla birlikte, sitenizi Bootstrap 5'e geçirebilirsiniz.
Tüm Microsoft Hizmetleri ve ürünleri, onaylı şifre paketlerini, Microsoft Şifreleme Panosu tarafından belirtildiği gibi tam sırada kullanmak üzere yapılandırılmıştır.
Tam liste ve tam sıralama için Power Platform belgelerine bakın.
Şifre paketlerinin kullanımdan kaldırılmasına ilişkin bilgiler, Power Platform'nin Önemli Değişiklikler belgesi aracığıyla duyurulur.
Power Pages daha zayıf kabul edilen RSA-CBC şifreleri (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) ve TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) desteklemeye neden hala devam ediyor?
Microsoft, şifreleme paketleri desteğini seçerken göreli riski ve müşteri işlemlerindeki kesintileri de göz önünde bulundurur. RSA-CBC şifre paketleri henüz bozulmadı. Servislerimiz ve ürünlerimizde tutarlılığı sağlamak ve tüm müşteri yapılandırmalarını desteklemek için bunları etkinleştirdik; ancak, öncelik listesinin en altında yer alıyor.
Şifreleri Microsoft Crypto Board'un sürekli değerlendirmesine dayanarak kullanımdan kaldırıyoruz.
Daha fazla bilgi: Hangi TLS 1.2 şifreleme paketleri Power Pages tarafından desteklenmektedir?
Power Pages, Microsoft Azure üzerinde oluşturulmuştur ve DDoS saldırılarına karşı koruma sağlamak için Azure DDoS Koruması'nı kullanır. Ayrıca OOB/üçüncü taraf AFD/WAF'yi etkinleştirmek siteye daha fazla koruma sağlayabilir.
Daha fazla bilgi:
Sızma test raporum CKEditor'deki güvenlik açığına işaret etmiyor. Bu güvenlik açığını nasıl azaltırım?
RTE PCF denetimi yakında CKEditor'un yerini alacak. RTE PCF denetiminin yayımlanmasından önce bu sorunu azaltmak istiyorsanız, DisableCkEditorBundle = true site ayarını yapılandırarak CKEditor'u devre dışı bırakın. Metin alanı, devre dışı bırakıldıktan sonra CKEditor'un yerini alır.
Güvenilmeyen bir kaynaktan veri işlemeden önce HTML kodlaması gerçekleştirmenizi öneririz.
Daha fazla bilgi: Kullanılabilir kodlama filtreleri.
Varsayılan olarak ASP.Net doğrulama isteği özelliği, betik enjeksiyon saldırılarını engellemek için Power Pages formlarında etkinleştirilmiştir. API'yi kullanarak kendi formunuzu oluşturuyorsanız, Power Pages enjeksiyon saldırılarını önlemek için çeşitli önlemler içerir.
- Bir formdan veya Web API'sini kullanan herhangi bir veri kontrolünden kullanıcı girişini işlerken HTML temizliğinin uygun olduğundan emin olun.
- Sayfada görüntülenmeden önce tüm giriş ve çıkış verileri için giriş ve çıkış temizleme işlemi uygulayın. Buna, Liquid/WebAPI aracılığıyla veya Dataverse'e eklenen/güncellenen veriler de dahildir.
- Form verilerini eklemeden veya güncellemeden önce özel kontrollere ihtiyaç duyulursa, sunucu tarafında verileri doğrulamak için çalışan eklentiler yazabilirsiniz.
Daha fazla bilgi Power Pages güvenliği teknik incelemesi.