Читати англійською Редагувати

Поділитися через


Запитання й відповіді про безпеку Power Pages

Як Power Pages допомагає захистити дані від клікджекінгу?

Клікджекінг використовує вбудовані iFrames або інші компоненти, щоб перехоплювати взаємодію користувача з вебсторінками.
Power Pages надає налаштування сайту HTTP/X-Frame-Options з типовим значенням SAMEORIGIN для захисту від атак клікджекінгу.

Додаткові відомості: Налаштування заголовків HTTP в Power Pages

Чи підтримує Power Pages політику безпеки вмісту?

Power Pages підтримує політику безпеки вмісту (CSP). Після увімкнення CSP на вебсайтах Power Pages радимо виконати розширене тестування.

Додаткові відомості: Керування політикою безпеки вмісту сайту

Чи підтримує Power Pages політику суворої транспортної безпеки HTTP?

За замовчуванням Power Pages підтримує перенаправлення з HTTP на HTTPS. Якщо позначено, перевірте, чи не блокується запит на рівні служби програми. Якщо запит не є успішним (код відповіді >= 400), це помилковий результат.

Power Pages встановлює прапорці HTTPOnly/SameSite для кожного критичного файлу cookie. Існує кілька некритичних файлів cookie, для яких HTTPOnly/SameSite не задано, і які не слід вважати вразливими.

Додаткові відомості: Cookies у Power Pages

Звіт про тест My Pen позначає End of Life/Застаріле програмне забезпечення – Bootstrap 3. Що з цим робити?

На Bootstrap 3 немає відомих вразливостей; однак ви можете перенести свій сайт на Bootstrap 5.

Які шифри підтримує Power Pages? Яка дорожня карта постійного руху до сильніших шифрів?

Усі служби та продукти Microsoft настроєно для використання затверджених наборів шифрів у точному порядку, зазначеному Microsoft Crypto Board.

Повний список і точний порядок див. в документації Power Platform .

Інформацію про вилучення наборів шифрів наведено в документації «Важливі зміни Power Platform».

Чому Power Pages досі підтримує шрифти RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) і TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), які вважаються слабкими?

Корпорація Майкрософт зважує відносний ризик і збої в операціях клієнтів під час вибору шифрів для підтримки. Пакети шифрів RSA-CBC ще не зламано. Вони можуть забезпечувати узгодженість наших служб і продуктів, а також підтримувати всі конфігурації клієнтів. Проте їх розташовано в нижній частині списку пріоритетів.

Шифри буде вилучено згідно з безперервним оцінюванням Microsoft Crypto Board.

Додаткові відомості: Які набори шифрів TLS 1.2 підтримує Power Pages?

Як працює Power Pages захист від розподілених атак типу «відмова в обслуговуванні» (DDoS)?

Power Pages створено на основі Microsoft Azure і використовує захист Azure від DDoS-атак, щоб захистити від DDoS-атак. Крім того, увімкнення OOB/сторонніх AFD/WAF може додати більше захисту на сайті.

Додаткові відомості:

У моєму звіті про перевірку пера позначено вразливість у CKEditor. Як зменшити цю вразливість?

Управління RTE PCF незабаром замінить CKEditor. Якщо ви хочете пом’якшити цю проблему до випуску елемента керування RTE PCF, вимкніть CKEditor, налаштувавши параметр сайту DisableCkEditorBundle = true. Текстове поле замінює CKEditor після вимкнення.

Як захистити свій веб-сайт від XSS-атак?

Ми рекомендуємо виконувати кодування HTML перед відтворенням даних із ненадійного джерела.

Додаткові відомості: Доступні фільтри кодування.

Як захистити ділянку від ін’єкційних атак?

За замовчуванням у формах увімкнено функцію перевірки запиту ASP.Net Power Pages , щоб запобігти атакам з використанням ін’єкцій скриптів. Якщо ви створюєте власну форму за допомогою API,включає Power Pages в себе кілька заходів для запобігання ін’єкційних атак.

  • Забезпечте належну дезінфекцію HTML під час обробки введених користувачем даних із форми або будь-якого елемента керування даними, який використовує веб-API.
  • Реалізуйте дезінфекцію введення та виведення для всіх вхідних та вихідних даних перед їх відображенням на сторінці. Це включає дані, отримані через liquid/WebAPI або вставлені/оновлені Dataverse через ці канали.
  • Якщо перед вставкою або оновленням даних форми потрібні спеціальні перевірки, можна написати плагіни, які виконуються для перевірки даних на стороні сервера.

Більше інформації: Power Pages Офіційний документ безпеки.