Поділитися через


Керування політикою щодо безпеки вмісту сайту

Політика щодо безпеки вмісту (CSP) — це додатковий рівень безпеки, який допомагає виявляти та зменшувати певні типи веб-атак, наприклад крадіжки даних, викривлення зовнішнього вигляду веб-сайту або розповсюдження зловмисних програм. CSP надає широкий набір директив політики, які допомагають керувати ресурсами, які може завантажувати сторінка сайту. Кожна директива визначає обмеження для певного типу ресурсу.

Якщо для сайту Power Pages ввімкнуто CSP, це допомагає зробити сайт безпечнішим, блокуючи з'єднання, сценарії, шрифти та інші типи ресурсів, які походять з невідомих або шкідливих джерел.

За замовчуванням CSP вимкнуто. Проте для підвищення безпеки веб-сайтів може знадобитись CSP.

Для керування CSP використовуйте програму для керування порталом.

Виберіть свій CSP сайту

  1. Увійдіть у Power Pages і відкрийте сайт для редагування.

  2. На панелі ліворуч натисніть Інші елементи () >Керування порталом.

  3. У програмі для керування порталом в області ліворуч виберіть параметри сайту.

  4. Створіть або змініть параметр сайту HTTP/Content-Security-Policy.

  5. Установлення потрібних значень у посиланні на CSP, розділених комою, наприклад, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Увімкнення nonce

A nonce представляє код, зазвичай числовий, що може використовуватися тільки одноразово («номер один»). Під час використання одноразового номера з CSP вашого сайту, генерується унікальний криптографічного коду, який додається до кожного сценарію, вказаного в заголовку CSP. Дозволено запускати тільки вбудовані сценарії, атрибут nonce яких відповідає атрибуту CSP. Сценарії, які може вводити зловмисник у сторінку, блокуються, оскільки не містять атрибуту nonce. Докладніше про використання nonce з CSP.

На сайтах Power Pages nonce підтримують лише вхідні сценарії та обробники подій.

Щоб увімкнути nonce для сайту додайте значення script-src 'nonce'; до параметру сайту HTTP/Content-Security-Policy. Нижче наведено кілька прикладів.

  • Якщо потрібна сувора політика, за якої сценарії не можуть завантажуватися з джерел поза межами сайту Power Pages, додайте до параметра сайту HTTP/Content-Security-Policy такі значенняscript-src 'self' content.powerapps.com 'nonce'

  • Щоб завантажити сценарії з будь-якого захищеного джерела, додайте таке значення: script-src https: 'nonce'

Якщо ввімкнуто nonce, unsafe-eval вкидається для підтримки автоматичної оцінки ненадійного коду. Щоб вимкнути автоматичне впровадження unsafe-eval,змініть параметр сайту HTTP/Content-Security-Policy/Inject-unsafe-eval на значення Хибність. Пам’ятайте, що в разі вимкнення впровадження unsafe-eval перевірка автоматично створених полів на базових або багатоетапних формах не може далі працювати належним чином.