Clickjacking sử dụng iFrame được nhúng hoặc các thành phần khác để chiếm quyền tương tác của người dùng với trang web.
Power Pages cung cấp cài đặt trang web HTTP/X-Frame-Options với SAMEORIGIN mặc định để bảo vệ khỏi các cuộc tấn công bằng nhấp chuột.
Thông tin thêm: Thiết lập tiêu đề HTTP trong Power Pages
Power Pages hỗ trợ Chính sách bảo mật nội dung (CSP). Nên thử nghiệm rộng rãi sau khi bật CSP trên trang web Power Pages.
Thông tin thêm: Quản lý Chính sách bảo mật nội dung trên trang web của bạn
Theo mặc định, Power Pages hỗ trợ chuyển hướng HTTP sang HTTPS. Nếu được gắn cờ, hãy xác minh xem yêu cầu có bị chặn ở Cấp dịch vụ ứng dụng hay không. Nếu đó không phải là yêu cầu thành công (mã phản hồi >= 400), thì đó là yêu cầu sai.
Power Pages đặt cờ HTTPOnly/SameSite cho mọi cookie quan trọng. Có một số cookie không quan trọng chưa được đặt HTTPOnly/SameSite và những cookie này không được coi là lỗ hổng bảo mật.
Thêm thông tin: Cookies trong Power Pages
Báo cáo kiểm tra Bút của tôi đang gắn cờ Phần mềm hết hạn sử dụng/Lỗi thời – Bootstrap 3. Tôi nên làm gì với nó?
Không có lỗ hổng nào được biết đến trên Bootstrap 3; tuy nhiên, bạn có thể di chuyển trang web của mình sang Bootstrap 5.
Tất cả dịch vụ và sản phẩm của Microsoft đều được đặt cấu hình để sử dụng các bộ thuật toán mật mã đã được phê duyệt, theo đúng thứ tự do Microsoft Crypto Board hướng dẫn.
Để biết danh sách đầy đủ và thứ tự chính xác, hãy xem tài liệu về Power Platform.
Thông tin về việc ngừng sử dụng bộ thuật toán mật mã được truyền tải thông qua tài liệu Những thay đổi quan trọng của Power Platform.
Tại sao Power Pages vẫn hỗ trợ bộ thuật toán mật mã RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) và TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) được xem là yếu hơn?
Microsoft cân nhắc rủi ro tương đối và sự gián đoạn đối với hoạt động của khách hàng khi chọn bộ thuật toán mật mã để hỗ trợ. Bộ thuật toán mật mã RSA-CBC vẫn chưa bị hỏng. Chúng tôi đã cho phép chúng đảm bảo tính nhất quán giữa các dịch vụ và sản phẩm của chúng tôi, đồng thời hỗ trợ tất cả cấu hình của khách hàng; tuy nhiên, chúng nằm ở cuối danh sách ưu tiên.
Chúng tôi không dùng mật mã dựa trên đánh giá liên tục của Microsoft Crypto Board.
Thêm thông tin: Bộ mật mã TLS 1.2 nào được hỗ trợ bởi Power Pages?
Power Pages được xây dựng dựa trên Microsoft Azure và sử dụng biện pháp Chống DDoS của Azure để bảo vệ trước các cuộc tấn công DDoS. Ngoài ra, việc bật OOB/AFD/WAF của bên thứ ba có thể tăng cường khả năng bảo vệ trên trang web.
Thông tin khác:
Báo cáo kiểm tra Pen của tôi đang gắn cờ lỗ hổng trong CKEditor. Làm cách nào để giảm thiểu lỗ hổng này?
Điều khiển RTE PCF sẽ sớm thay thế CKEditor. Nếu bạn muốn giảm thiểu sự cố này trước khi phát hành điều khiển RTE PCF, hãy tắt CKEditor bằng cách định cấu hình cài đặt trang Vô hiệu hóaCkEditorBundle = true. Trường văn bản sẽ thay thế CKEditor sau khi nó bị tắt.
Chúng tôi khuyên bạn nên thực hiện mã hóa HTML trước khi hiển thị dữ liệu từ nguồn không đáng tin cậy.
Thêm thông tin: Bộ lọc mã hóa có sẵn.
Theo mặc định, tính năng ASP.Net xác thực yêu cầu được bật trên Power Pages biểu mẫu để ngăn chặn các cuộc tấn công chèn tập lệnh. Nếu bạn đang tạo biểu mẫu của riêng mình bằng API, Power Pages hãy kết hợp một số biện pháp để ngăn chặn các cuộc tấn công tiêm nhiễm.
- Đảm bảo dọn dẹp HTML thích hợp khi xử lý dữ liệu đầu vào của người dùng từ biểu mẫu hoặc bất kỳ kiểm soát dữ liệu nào sử dụng API Web.
- Triển khai quá trình dọn dẹp đầu vào và đầu ra cho tất cả dữ liệu đầu vào và đầu ra trước khi hiển thị chúng trên trang. Điều này bao gồm dữ liệu được tìm nạp qua Liquid/WebAPI hoặc được chèn/cập nhật vào Dataverse thông qua các kênh này.
- Nếu cần kiểm tra đặc biệt trước khi chèn hoặc cập nhật dữ liệu biểu mẫu, bạn có thể viết các plugin thực thi để xác thực dữ liệu ở phía máy chủ.
Thông tin thêm: Power Pages sách trắng bảo mật.