閱讀英文

共用方式為


管理您網站的內容安全性原則

內容安全性原則 (CSP) 是額外的安全性層,協助偵測和緩解某些類型的網路攻擊,例如資料竊取、網站篡改或惡意軟體的分發。 CSP 提供一組廣泛的原則指令,可協助您控制允許載入網站頁面的資源。 每個指令都會定義特定資源類型的限制。

Power Pages 網站啟用 CSP 後,它會封鎖來自未知或惡意來源的連接、指令碼、字體和其他類型的資源,來幫助提高網站的安全性。

CSP 預設關閉。 但是,網站可能需要 CSP 才能增強其他安全性。

使用入口網站管理應用程式來管理 CSP。

設定您網站的 CSP

  1. 登入 Power Pages 並打開您的網站進行編輯。

  2. 在左側窗格中,選取其他項目 (...) >入口網站管理

  3. 在入口網站管理應用程式的左側面板中,選取網站設定

  4. 建立或編輯 HTTP/Content-Security-Policy 網站設定。

  5. CSP 參考中設定您需要的值 (以分號分隔);例如 script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

打開隨機數

隨機數代表一種程式碼 (通常是數值),僅使用一次 (「一次數字」)。 當您將隨機數與網站的 CSP 結合使用時,系統產生一個唯一的加密程式碼並將其新增到 CSP 標題中指定的每個指令碼中。 只有隨機數屬性符合 CSP 中的內嵌指令碼,才允許執行。 因為不包括隨機數屬性,所以攻擊者可能注入頁面的指令碼會被封鎖。 深入了解如何將隨機數與 CSP 搭配使用

在 Power Pages 網站中,隨機數只支援內嵌指令碼和內嵌事件處理常式。

若啟用網站的隨機數,請將 script-src 'nonce'; 值新增到 HTTP/Content-Security-Policy 網站設定。 以下是一些範例。

  • 如果您需要嚴格的原則,不允許從 Power Pages 網站外部的來源載入指令碼,請將下列值新增至 HTTP/Content-Security-Policy 網站設定:script-src 'self' content.powerapps.com 'nonce'

  • 如果您想要從任何安全來源載入指令碼,請新增以下值:script-src https: 'nonce'

當已開啟隨機值時,會注入 unsafe-eval 以支援自動評估不安全的程式碼。 要關閉 unsafe-eval 的自動注入,請將網站設定 HTTP/Content-Security-Policy/Inject-unsafe-eval 變更為 False。 請記住,如果已關閉 unsafe-eval 注入,則基本多步驟表單上自動產生欄位的驗證可能無法正確運作。