Клікджекінг використовує вбудовані iFrames або інші компоненти, щоб перехоплювати взаємодію користувача з вебсторінками.
Power Pages надає налаштування сайту HTTP/X-Frame-Options з типовим значенням SAMEORIGIN для захисту від атак клікджекінгу.
Додаткові відомості: Налаштування заголовків HTTP в Power Pages
Power Pages підтримує політику безпеки вмісту (CSP). Після увімкнення CSP на вебсайтах Power Pages радимо виконати розширене тестування.
Додаткові відомості: Керування політикою безпеки вмісту сайту
За замовчуванням Power Pages підтримує перенаправлення з HTTP на HTTPS. Якщо позначено, перевірте, чи не блокується запит на рівні служби програми. Якщо запит не є успішним (код відповіді >= 400), це помилковий результат.
Чому засоби перевірки пера виявляють файли cookie без прапорців HTTPOnly/SameSite або повідомляють про них?
Power Pages встановлює прапорці HTTPOnly/SameSite для кожного критичного файлу cookie. Існує кілька некритичних файлів cookie, для яких HTTPOnly/SameSite не задано, і які не слід вважати вразливими.
Додаткові відомості: Cookies у Power Pages
Звіт про тест My Pen позначає End of Life/Застаріле програмне забезпечення – Bootstrap 3. Що з цим робити?
На Bootstrap 3 немає відомих вразливостей; однак ви можете перенести свій сайт на Bootstrap 5.
Усі служби та продукти Microsoft настроєно для використання затверджених наборів шифрів у точному порядку, зазначеному Microsoft Crypto Board.
Повний список і точний порядок див. в документації Power Platform .
Інформацію про вилучення наборів шифрів наведено в документації «Важливі зміни Power Platform».
Чому Power Pages досі підтримує шрифти RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) і TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), які вважаються слабкими?
Корпорація Майкрософт зважує відносний ризик і збої в операціях клієнтів під час вибору шифрів для підтримки. Пакети шифрів RSA-CBC ще не зламано. Вони можуть забезпечувати узгодженість наших служб і продуктів, а також підтримувати всі конфігурації клієнтів. Проте їх розташовано в нижній частині списку пріоритетів.
Шифри буде вилучено згідно з безперервним оцінюванням Microsoft Crypto Board.
Додаткові відомості: Які набори шифрів TLS 1.2 підтримує Power Pages?
Power Pages створено на основі Microsoft Azure і використовує захист Azure від DDoS-атак, щоб захистити від DDoS-атак. Крім того, увімкнення OOB/сторонніх AFD/WAF може додати більше захисту на сайті.
Додаткові відомості:
Управління RTE PCF незабаром замінить CKEditor. Якщо ви хочете пом’якшити цю проблему до випуску елемента керування RTE PCF, вимкніть CKEditor, налаштувавши параметр сайту DisableCkEditorBundle = true. Текстове поле замінює CKEditor після вимкнення.
Ми рекомендуємо виконувати кодування HTML перед відтворенням даних із ненадійного джерела.
Додаткові відомості: Доступні фільтри кодування.
За замовчуванням у формах увімкнено функцію перевірки запиту ASP.Net Power Pages , щоб запобігти атакам з використанням ін’єкцій скриптів. Якщо ви створюєте власну форму за допомогою API,включає Power Pages в себе кілька заходів для запобігання ін’єкційних атак.
- Забезпечте належну дезінфекцію HTML під час обробки введених користувачем даних із форми або будь-якого елемента керування даними, який використовує веб-API.
- Реалізуйте дезінфекцію введення та виведення для всіх вхідних та вихідних даних перед їх відображенням на сторінці. Це включає дані, отримані через liquid/WebAPI або вставлені/оновлені Dataverse через ці канали.
- Якщо перед вставкою або оновленням даних форми потрібні спеціальні перевірки, можна написати плагіни, які виконуються для перевірки даних на стороні сервера.
Більше інформації: Power Pages Офіційний документ безпеки.