Drošības problēmas (priekšskatījums)
[Šī tēma ir pirmsizlaides dokumentācija, un tā var tikt mainīta.]
Šajā rakstā uzzināsit par vietnes pārbaudītājs drošības problēmu diagnostikas rezultātiem.
Svarīgi
- Šis ir priekšskatījuma līdzeklis.
- Priekšskatījuma līdzekļi nav paredzēti komerciālai lietošanai, un to funkcionalitāte var būt ierobežota. Šie līdzekļi ir pieejami pirms oficiālā laidiena, lai klienti varētu priekšlaikus piekļūt līdzeklim un sniegt atsauksmes.
Web Application Firewall ir iespējots
Iespējojiet tīmekļa lietojumprogrammas ugunsmūri, lai nodrošinātu jūsu vietni. Papildinformāciju skatiet šeit: Tīmekļa lietojumprogrammas ugunsmūra konfigurēšana Power Pages (priekšskatījums)
Anonīma piekļuve Dataverse tabulām
Šī pārbaude neizdodas, ja ir viena vai vairākas tabulu atļaujas, kas anonīmiem lietotājiem ļauj piekļūt Dataverse datiem. Pārskatiet tabulas atļaujas un noņemiet anonīmu lietotāja piekļuvi, ja vien jūsu lietošanas pieteikumam nav nepieciešama anonīma piekļuve. Papildinformācija: Tabulu atļauju konfigurēšana
Tīmekļa veidnes validācija
Tīmekļa veidnes validācija, kas ir iespējota pēc noklusējuma, novērš ļaunprātīgu skriptu palaišanu jūsu vietnē. Šī pārbaude neizdodas, ja ir atspējota tīmekļa veidnes validācija. Tīmekļa veidnes apstiprināšanu var iespējot, noņemot iestatījumu "DisableValidationWebTemplate" vai iestatot vērtību uz nepatiesu. Papildinformāciju skatiet sadaļā Vietnes iestatījumu konfigurācija tīmekļa vietnēm
HTTP galvenes
Protokola CORS konfigurēšanai tiek izmantoti tālāk norādītie vietnes iestatījumi un to ieteicamās vērtības. Pārskatiet galvenes un pārslēdziet tās uz ieteicamajām vērtībām, ja vien izmantošanas gadījums nenosaka citu lietošanu.
| Drošības pārbaude | Vietnes iestatījums | Ieteicamā vērtība |
|---|---|---|
| Access-Control-Allow-Origin ierobežojums | HTTP/Access-Control-Allow-Origin | Aplams vai noņemiet iestatījumu |
| Access-Control-Allow-Credentials ierobežojums | HTTP/Access-Control-Allow-Credentials | Aplams vai noņemiet iestatījumu |
| Satura drošības politika | HTTP/Content-Security-Policy | script-src https: 'nonce' |
| X-Frame-Options konfigurācija | HTTP/X-Frame-Options | SAMEORIGIN vai DENY |
| HTTP/X-Content-Type-Options konfigurācija | HTTP/X-Content-Type-Options | nosniff |