內容安全政策(Content Security Policy,CSP)是一個瀏覽器安全標頭,僅允許受信任的腳本和資源載入。 Microsoft Entra ID 在登入頁面強制執行 CSP,作為主動措施,以阻擋來自外部來源的未經授權腳本,並降低因跨站腳本注入(XSS)等腳本注入攻擊所引發的漏洞風險。
這很重要
CSP的執行將於2026年10月中下旬全球開始。
僅適用於在 login.microsoftonline.com 的瀏覽器登入。 使用 Microsoft Entra 外部識別碼的客戶使用自訂網域及 MSAL/API 流程 則不受影響。
Microsoft 建議不要使用瀏覽器擴充功能或將程式碼注入 Microsoft Entra 登入體驗的工具。 如果你遵循這些建議,你的體驗將不會改變,且不需要進一步行動。
如果你使用會將程式碼注入 Microsoft Entra 登入頁面的工具或瀏覽器擴充功能,請在此變更發布前切換到不會注入程式碼的其他工具。
關於準備CSP執行的詳細資訊,請參閱 《如何準備CSP執法》。
腳本或程式碼注入的風險
腳本或程式碼注入是指惡意腳本未經授權在使用者瀏覽器中執行時發生。 這種脆弱性可能導致:
- 資料竊取:攻擊者可能竊取敏感資訊,如憑證或令牌。
- 會話劫持:注入腳本可以控制正在進行的會話。
- 惡意軟體的傳播:惡意程式碼可能在使用者裝置上安裝有害軟體。
- 信任流失:登入頁面受損會損害用戶信心與品牌聲譽。
XSS 是最常見的注射攻擊之一。 它使攻擊者能在使用者瀏覽器中執行惡意腳本,竊取憑證、劫持會話並入侵敏感資料。
CSP 進一步透過限制瀏覽器中可執行的腳本,來防禦這些攻擊。 透過強制執行 CSP,Microsoft Entra ID 只允許來自受信任 Microsoft 網域的腳本在認證時執行。
CSP 是縱深防禦
CSP 為對抗像 XSS 這類腳本注入攻擊提供了重要的防禦層。 如今,Microsoft、Entra 以及現代瀏覽器已經實作機制,防止惡意腳本被注入網站,作為第一層也是主要的防禦。 然而,在某些情況下,腳本仍可被注入,例如透過使用者安裝的惡意瀏覽器擴充功能或零時差漏洞,CSP 會阻止該腳本執行。 CSP 透過只允許列出受信任的腳本 nonce 和 origins,並預設封鎖其他所有內容來達成此目標。 這種縱深防禦方法強化了現有的安全措施。
CSP 執行範圍與主要細節
CSP 強制執行進一步強化 Microsoft Entra 登入體驗的安全性,僅允許腳本從受信任的 Microsoft 網域執行。 這減少了未經授權外部腳本注入的機會。 我們的分析顯示,大多數違規行為來自外部瀏覽器擴充功能或注入與第三方工具連結的腳本。
以下是您需要了解的CSP執法範圍與關鍵細節:
-
標頭強制範圍:CSP 強制僅適用於
login.microsoftonline.com的瀏覽器登入體驗。 其他網域和非瀏覽器認證流程則不受影響。 - Microsoft 認證函式庫(MSAL)與 API 認證:基於 MSAL 的認證流程與 Microsoft Entra 安全憑證服務(STS)API 互動,因強制執行僅限於瀏覽器登入 URL,因此不受影響。
- Microsoft Entra 外部 ID 與自訂網域:使用自訂網域或 CIAM 網域登入的外部 ID 客戶不會受到影響。
非 Microsoft 工具中存在 CSP 違規
部分第三方工具可能會將腳本注入登入頁面,可能導致 CSP 違規。 當 CSP 被強制執行時,login.microsoftonline.com 這些腳本將被阻止執行。 使用者仍可正常登入,但這可能會干擾某些登入或監控工作流程。
使用依賴注入腳本工具的客戶,應直接與廠商合作,找出並實施符合 CSP 要求的修正。
如何準備執行內容安全政策(CSP)
及早檢視您的登入體驗。 移除或遷移會將腳本注入 Microsoft Entra 登入頁面的瀏覽器擴充功能與工具。 如果您的組織依賴此類工具,請與供應商合作,在推廣前採用合規替代方案。
事先測試登入流程,以識別並解決違規行為,減少干擾,並保持用戶體驗順暢無阻。 請依照以下指示,辨識租戶的具體影響。
步驟 1:開啟開發主控台進行登入流程,找出任何違規行為。
步驟二:檢視以紅色顯示的違規資訊。 若是特定團隊或個人造成違規,則僅在他們的流程中顯示。 為確保準確性,請徹底評估組織內不同的登入情境。 這裡有一個違規的例子:
這次對我們 CSP 的更新,透過阻擋未經授權的腳本,進一步幫助保護您的組織免受不斷演變的安全威脅。 為確保順利推出,請事先徹底測試登入流程。 這有助於你及早發現並處理問題,讓使用者保持安全,登入體驗也保持順暢。