教學課程:使用規則引擎新增安全性標頭
重要
Azure Front Door(傳統版)將於 2027 年 3 月 31 日淘汰。 為了避免任何服務中斷,請務必在 2027 年 3 月之前將 Azure Front Door (傳統) 配置檔移轉至 Azure Front Door Standard 或 進階版 層。 如需詳細資訊,請參閱 Azure Front Door(傳統版)淘汰。
本教學課程說明如何實作安全性標頭以防止以瀏覽器為基礎的漏洞,例如 HTTP Strict-Transport-Security (HSTS)、X-XSS-Protection、Content-Security-Policy 或 X-Frame-Options。 以安全性為基礎的屬性也可以使用 Cookie 來定義。
下列範例示範如何將 Content-Security-Policy 標頭新增至所有符合規則引擎組態相關聯路由中所定義路徑的傳入要求。 在這裡我們只允許來自信任網站 https://apiphany.portal.azure-api.net 的指令碼在我們的應用程式上執行。
在本教學課程中,您會了解如何:
- 設定規則引擎內的內容安全性原則。
必要條件
- Azure 訂用帳戶。
- Azure Front Door。 若要完成本教學課程中的步驟,您必須具有已設定規則引擎的 Front Door。 如需詳細資訊,請參閱快速入門:建立 Front Door 和設定規則引擎。
在 Azure 入口網站中新增 Content-Security-Policy 標頭
在您的 Front Door 資源中,選取 [設定] 下的 [規則引擎設定],然後選取您要新增安全性標頭的規則引擎。
選取 [新增] 以新增規則。 提供規則的名稱,然後選取 [新增動作] > [回應標頭]。
將運算子設定為 [附加] 以新增此標頭,作為對此路由所有傳入要求的回應。
新增標頭名稱 Content-Security-Policy,並定義此標頭應該接受的值,然後選取 [儲存]。 在此案例中,我們會選擇
script-src 'self' https://apiphany.portal.azure-api.net。
注意
標頭值限制為 640 個字元。
完成將規則新增至設定之後,請務必將規則引擎設定與所選擇路由的路由規則產生關聯。 必須執行此步驟,才能讓規則生效。
注意
在此案例中,我們不會將比對條件新增至規則。 所有符合路由規則中所定義路徑的傳入要求都會套用此規則。 如果您只想要將規則套用到這些要求的子集,請務必將您的特定比對條件新增至此規則。
清除資源
在先前的步驟中,您已使用 Front Door 的規則引擎來設定安全性標頭。 如果您不再需要規則,您可以在規則引擎中選取 [刪除規則] 將其移除。
下一步
若要了解如何為您的 Front Door 設定 Web 應用程式防火牆,請繼續進行下一個教學課程。