Sự cố bảo mật (bản xem trước)
[Chủ đề này là tài liệu hướng dẫn trước khi phát hành và có thể thay đổi.]
Trong bài viết này, bạn sẽ tìm hiểu về kết quả chẩn đoán công cụ kiểm tra trang web cho các vấn đề bảo mật.
Quan trọng
- Đây là một tính năng xem trước.
- Các tính năng xem trước không được dùng cho sản xuất và có thể có chức năng bị hạn chế. Những tính năng này khả dụng trước khi có bản phát hành chính thức để khách hàng có thể truy cập sớm và cung cấp phản hồi.
Đã bật Web Application Firewall
Bật Tường lửa ứng dụng web để bảo mật trang web của bạn. Thông tin thêm: Định cấu hình Tường lửa ứng dụng web cho Power Pages (bản xem trước)
Quyền truy cập ẩn danh vào các bảng Dataverse
Việc kiểm tra này sẽ không thành công nếu có một hoặc nhiều quyền trong bảng cho phép người dùng ẩn danh truy cập dữ liệu Dataverse. Xem lại các quyền của bảng và xóa quyền truy cập của người dùng ẩn danh trừ khi trường hợp sử dụng của bạn cần có quyền truy cập ẩn danh. Thông tin thêm: Định cấu hình quyền của bảng
Xác thực mẫu web
Xác thực mẫu web, được bật theo mặc định, ngăn các tập lệnh độc hại chạy trên trang web của bạn. Kiểm tra này không thành công khi xác thực mẫu Web bị vô hiệu hóa. Bạn có thể bật tính năng Xác thực mẫu web bằng cách xóa cài đặt "DisableValidationWebTemplate" hoặc đặt giá trị thành sai. Thông tin thêm: Định cấu hình thiết đặt trang web cho các trang web
Tiêu đề HTTP
Các thiết đặt trang web dưới đây được sử dụng để định cấu hình CORS và các giá trị được đề xuất. Đánh giá và chuyển tiêu đề sang giá trị được đề xuất trừ khi trường hợp sử dụng của bạn có quy định khác.
Kiểm tra an ninh | Thiết đặt site | Giá trị đề xuất |
---|---|---|
Hạn chế Access-Control-Allow-Origin | HTTP/Access-Control-Allow-Origin | Sai hoặc xóa cài đặt |
Hạn chế Access-Control-Allow-Credentials | HTTP/Access-Control-Allow-Credentials | Sai hoặc xóa cài đặt |
Chính sách bảo mật nội dung | HTTP/Content-Security-Policy | script-src https: 'nonce' |
Cấu hình X-Frame-Options | HTTP/X-Frame-Options | SAMEORIGIN hoặc TỪ CHỐI |
Cấu hình HTTP/X-Content-Type-Options | HTTP/X-Content-Type-Options | nosniff |