管理您網站的內容安全性原則
內容安全性原則 (CSP) 是額外的安全性層,協助偵測和緩解某些類型的網路攻擊,例如資料竊取、網站篡改或惡意軟體的分發。 CSP 提供一組廣泛的原則指令,可協助您控制允許載入網站頁面的資源。 每個指令都會定義特定資源類型的限制。
Power Pages 網站啟用 CSP 後,它會封鎖來自未知或惡意來源的連接、指令碼、字體和其他類型的資源,來幫助提高網站的安全性。
CSP 預設關閉。 但是,網站可能需要 CSP 才能增強其他安全性。
使用入口網站管理應用程式來管理 CSP。
登入 Power Pages 並打開您的網站進行編輯。
在左側窗格中,選取其他項目 (...) >入口網站管理。
在入口網站管理應用程式的左側面板中,選取網站設定。
建立或編輯 HTTP/Content-Security-Policy 網站設定。
從 CSP 參考中設定您需要的值 (以分號分隔);例如
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
隨機數代表一種程式碼 (通常是數值),僅使用一次 (「一次數字」)。 當您將隨機數與網站的 CSP 結合使用時,系統產生一個唯一的加密程式碼並將其新增到 CSP 標題中指定的每個指令碼中。 只有隨機數屬性符合 CSP 中的內嵌指令碼,才允許執行。 因為不包括隨機數屬性,所以攻擊者可能注入頁面的指令碼會被封鎖。 深入了解如何將隨機數與 CSP 搭配使用。
在 Power Pages 網站中,隨機數只支援內嵌指令碼和內嵌事件處理常式。
若啟用網站的隨機數,請將 script-src 'nonce'; 值新增到 HTTP/Content-Security-Policy 網站設定。 以下是一些範例。
如果您需要嚴格的原則,不允許從 Power Pages 網站外部的來源載入指令碼,請將下列值新增至 HTTP/Content-Security-Policy 網站設定:
script-src 'self' content.powerapps.com 'nonce'
如果您想要從任何安全來源載入指令碼,請新增以下值:
script-src https: 'nonce'
當已開啟隨機值時,會注入 unsafe-eval 以支援自動評估不安全的程式碼。 要關閉 unsafe-eval 的自動注入,請將網站設定 HTTP/Content-Security-Policy/Inject-unsafe-eval 變更為 False。 請記住,如果已關閉 unsafe-eval 注入,則基本或多步驟表單上自動產生欄位的驗證可能無法正確運作。