Kwestie bezpieczeństwa (wersja zapoznawcza)
[Ten temat stanowi wstępną wersję dokumentacji i może ulec zmianie].
W tym artykule zapoznaj się z wynikami diagnostyki kontrolera witryny w przypadku problemów z zabezpieczeniami.
Ważne
- Jest to funkcja w wersji zapoznawczej.
- Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.
Usługa Web Application Firewall jest włączona
Włącz zaporę Web Application Firewall w celu zabezpieczenia witryny. Więcej informacji: Konfigurowanie zapory Web Application Firewall dla Power Pages (wersja zapoznawcza)
Anonimowy dostęp do tabel usługi Dataverse
To sprawdzenie kończy się niepowodzeniem, jeśli istnieje co najmniej jedno uprawnienie tabeli umożliwiające anonimowym użytkownikom dostęp do danych Dataverse. Należy przejrzeć uprawnienia tabeli i usunąć dostęp użytkowników anonimowych, chyba że przypadek użycia wymaga dostępu anonimowego. Więcej informacji: Konfigurowanie uprawnień tabeli
Weryfikacja szablonów sieci web
Walidacja szablonów internetowych jest domyślnie włączona i uniemożliwia uruchamianie złośliwych skryptów w witrynie internetowej. To sprawdzenie kończy się niepowodzeniem, gdy jest wyłączone sprawdzanie poprawności szablonu sieci Web. Można włączyć walidację szablonu internetowego, usuwając ustawienie „DisableValidationWebTemplate” lub ustawiając wartość fałsz. Więcej informacji: Konfigurowanie ustawień witryny dla witryn internetowych
Nagłówki HTTP
Do skonfigurowania usługi CORS są używane następujące ustawienia witryny i ich zalecane wartości. Przejrzyj nagłówki i przełącz je na wartości zalecane, o ile przypadek użycia nie wskazuje inaczej.
| Kontrola zabezpieczeń | Ustawienie witryny | Zalecana wartość |
|---|---|---|
| Ograniczenie wartości nagłówka Access-Control-Allow-Origin | HTTP/Access-Control-Allow-Origin | Fałsz lub usuwanie ustawienia |
| Ograniczenie wartości nagłówka Access-Control-Allow-Credentials | HTTP/Access-Control-Allow-Credentials | Fałsz lub usuwanie ustawienia |
| Zasady zabezpieczeń zawartości | HTTP/Content-Security-Policy | script-src https: 'nonce' |
| Konfiguracja nagłówka X-Frame-Options | HTTP/X-Frame-Options | SAMEORIGIN lub DENY |
| Konfiguracja nagłówka HTTP/X-Content-Type-Options | HTTP/X-Content-Type-Options | nosniff |