Lưu ý
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử đăng nhập hoặc thay đổi thư mục.
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử thay đổi thư mục.
Chính sách Bảo mật Nội dung (CSP) là một lớp bảo mật tăng cường nhằm phát hiện và giảm thiểu một số loại tấn công web như đánh cắp dữ liệu, phá hoại trang web hoặc phân phối phần mềm độc hại. CSP cung cấp một bộ chỉ thị về chính sách mở rộng giúp kiểm soát các nguồn lực mà một trang web được phép tải. Mỗi chỉ thị xác định các hạn chế đối với một loại nguồn lực cụ thể.
Khi CSP được bật cho trang web Power Pages, nó giúp làm cho trang web trở nên an toàn hơn bằng cách chặn các kết nối, tập lệnh, phông chữ và các loại tài nguyên khác có nguồn gốc từ các nguồn không xác định hoặc độc hại.
CSP bị tắt theo mặc định. Tuy nhiên, các trang web có thể yêu cầu CSP để tăng cường bảo mật khác.
Sử dụng ứng dụng Quản lý cổng thông tin để quản lý CSP.
Đặt CSP cho trang web của bạn
Đăng nhập vào Power Pages và mở trang web để chỉnh sửa.
Trong bảng điều khiển bên trái, hãy chọn Các mục khác (…) >Quản lý cổng thông tin.
Trong bảng điều khiển bên trái của ứng dụng Quản lý cổng thông tin, hãy chọn Cài đặt trang web.
Tạo hoặc chỉnh sửa cài đặt trang web HTTP/Content-Security-Policy.
Đặt các giá trị bạn cần từ tham chiếu CSP, phân tách bằng dấu chấm phẩy; ví dụ:
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Bật nonce
nonce đại diện cho một mã, thường là số, chỉ được sử dụng một lần ("số một"). Khi bạn sử dụng nonce với CSP của trang web, một mã mật mã duy nhất sẽ được tạo và thêm vào mỗi tập lệnh được chỉ định trong tiêu đề CSP. Chỉ các tập lệnh nội tuyến có thuộc tính nonce khớp với thuộc tính trong CSP mới được phép chạy. Các tập lệnh mà kẻ tấn công có thể đã chèn vào trang sẽ bị chặn vì chúng không bao gồm thuộc tính nonce. Tìm hiểu thêm về việc sử dụng nonce với CSP.
Trong trang web Power Pages, nonce chỉ hỗ trợ tập lệnh nội tuyến và trình xử lý sự kiện nội tuyến.
Để bật nonce cho trang web của bạn, hãy thêm giá trị script-src 'nonce'; vào thiết đặt site HTTP/Content-Security-Policy. Một vài ví dụ sau đây.
Nếu bạn muốn có chính sách nghiêm ngặt không cho phép tải tập lệnh từ các nguồn bên ngoài trang web Power Pages, hãy thêm giá trị sau vào thiết đặt site HTTP/Content-Security-Policy:
script-src 'self' content.powerapps.com 'nonce'Nếu bạn muốn tải tập lệnh từ bất kỳ nguồn an toàn nào, hãy thêm giá trị sau:
script-src https: 'nonce'
Khi nonce được bật, unsafe-eval được đưa vào để hỗ trợ việc tự động đánh giá mã không an toàn. Để tắt tính năng tự động chèn unsafe-eval, hãy thay đổi cài đặt trang web HTTP/Content-Security-Policy/Inject-unsafe-eval thành False. Hãy nhớ rằng nếu tính năng chèn unsafe-eval bị tắt thì việc xác thực các trường được tạo tự động trên biểu mẫu cơ bản hoặc nhiều bước có thể không còn hoạt động chính xác nữa.