Setări complexe (versiune preliminară)
[Acest subiect este documentație preliminară și poate fi modificat.]
Spațiul de lucru Securitate vă permite să proteja în continuare conținutul și datele site-ului dvs. din amenințările de securitate, direct din Power Pages studio de design. Utilizați setările avansate pentru a configura anteturile HTTP ale site-ului dvs. rapid și eficient, configurați politică de securitate a conținutului (CSP), Partajarea resurselor încrucișate (CORS), module cookie, permisiuni și multe altele.
Important
- Aceasta este o caracteristică de previzualizare.
- Caracteristicile în regim de previzualizare nu sunt destinate utilizării în producție și pot avea funcționalitate restricționată. Aceste caracteristici sunt disponibile înainte de lansarea oficială, astfel încât clienții să poată obține acces din timp și să poată oferi feedback.
- conectați-vă la Power Pages și deschideți-vă site-ul pentru editare.
- Selectați Security Workspace din navigarea din stânga, apoi alegeți Setări avansate (versiune preliminară).
Configurați politică de securitate a conținutului (CSP)
Politică de securitate a conținutului (CSP) este folosit de serverele web pentru a aplica un set de reguli de securitate pentru o pagină web. Ajută site-urile proteja de la diferite tipuri de atacuri de securitate, cum ar fi cross-site scripting (XSS), injectarea de date și alte atacuri de injectare de cod.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere |
|---|---|
| Sursă implicită | Specifică sursa implicită pentru conținut care nu este definit în mod explicit de alte directive. Acționează ca o rezervă pentru alte directive. |
| Sursa imaginii | Specifică surse valide pentru imagini. Controlează domeniile din care pot fi încărcate imaginile. |
| Sursă fonturi | Specifică surse valide pentru fonturi. Folosit pentru a controla domeniile din care pot fi încărcate fonturile web. |
| Sursă script | Specifică surse valide pentru codul JavaScript. Sursa de script poate include domenii specifice, „self” pentru aceeași origine, „unsafe-inline” pentru scripturile inline și „nonce-xyz” pentru scripturile cu un anumit nonce. Alegeți să activați nonce sau să injectați eval nesigur. Aflați mai multe la Gestionați politică de securitate a conținutului al site-ului dvs.: activați neîncetat |
| Sursă stil | Specifică surse valide pentru foile de stil. Similar cu script-src, poate include domenii, „self”, „unsafe-inline” și „nonce-xyz”. |
| Conectați sursa | Specifică surse valide pentru XMLHttpRequest, WebSocket sau EventSource. Controlează domeniile către care pagina poate face solicitări de rețea. |
| Sursă media | Specifică surse valide pentru audio și video. Folosit pentru a controla domeniile din care pot fi încărcate resursele media. |
| Sursă cadre | Specifică surse valide pentru cadre. Controlează domeniile din care pagina poate încorpora cadre. |
| Cadru Strămoși | Specifică surse valide care pot încorpora pagina curentă ca cadru. Controlează ce domenii au permisiunea de a încorpora pagina. |
| Formular Acțiune | Specifică surse valide pentru trimiterea formularelor. Definește domeniile către care pot fi trimise datele din formular. |
| Sursă obiect | Specifică surse valide pentru resursele elementului obiect, cum ar fi fișierele Flash sau alte obiecte încorporate. Ajută la controlul de la ce origini pot fi încărcate aceste obiecte. |
| Sursă lucrător | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul din ce origini pot fi încărcate și executate aceste scripturi de lucru. |
| Sursă manifest | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul din ce origini pot fi încărcate și executate aceste scripturi de lucru. |
| Sursă fiu | Specifică surse valide pentru lucrătorii web, inclusiv lucrătorii dedicați, lucrătorii partajați și lucrătorii de servicii. Ajută la controlul din ce origini pot fi încărcate și executate aceste scripturi de lucru. |
Pentru fiecare directivă, puteți alege fie o anumită adresă URL, toate domeniile sau niciunul.
Pentru o configurație avansată, accesați Gestionați politică de securitate a conținutului site-ului dvs.: setați CSP-ul site-ului.
Configurați partajarea resurselor între origini (CORS)
Partajarea resurselor între origini (CORS) este folosită de browserele web pentru a permite sau restricționa aplicațiile web care rulează într-un domeniu să solicite și să acceseze resurse de pe alt domeniu.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere | Valori |
|---|---|---|
| Permiteți accesarea resurselor de pe server | Cunoscut și sub numele de Access-Control-Allow-Origin, ajută serverul să decidă ce origini au permisiunea de a-și accesa resursele. Originile pot fi domenii, protocoale și porturi. | Alegeți adrese URL de domeniu |
| Trimiteți anteturi în timpul solicitărilor către server | Cunoscut și sub numele de Access-Control-Allow-Headers, ajută la stabilirea anteturilor care pot fi trimise prin solicitări cu altă origine pentru a accesa resursele de pe server. | Alegeți antete specifice cu următoarele permisiuni Origine Acceptați Autorizare Conținut – tip |
| Expuneți valorile din anteturi în codul de pe partea clientului | Cunoscută și sub denumirea de Access-Control-Expose-Headers, această directivă indică browser-ului pe care anteturile răspuns ar trebui să fie expuse și făcute accesibile pentru codul client care solicită în cererile de origine încrucișată. | Alegeți antete specifice cu următoarele permisiuni Origine Acceptați Autorizare Conținut – tip |
| Definiți metodele de accesare a resurselor | Cunoscut și sub numele de Access-Control-Allow-Methods, ajută la definirea metodelor HTTP permise atunci când accesați resurse de pe un server dintr-o altă origine. | GET - Solicită date de la o resursă specificată POST - Trimite date pentru a fi procesate la o resursă specificată PUT - Actualizează sau înlocuiește o resursă la o anumită adresă URL HEAD -La fel ca GET, dar preia numai anteturile și nu conținutul real PATCH - Modifică parțial un resource OPȚIUNI - Solicită informații despre opțiunile de comunicare disponibile pentru o resursă sau un server DELETE - Șterge resursa specificată |
| Specificați durata de memorare în cache a rezultatelor solicitării | Cunoscut și sub numele de Access-Control-Max-Age, ajută la stabilirea duratei în care rezultatele unei solicitări de verificare preliminară pot fi memorate în cache de browser. | Specificați durata în timpi (secunde) |
| Permiteți site-ului să partajeze acreditări | Cunoscută și sub numele de Access-Control-Allow-Credentials, ajută la stabilirea dacă site-ul poate partaja acreditări, precum module cookie, anteturi de autorizare sau certificate SSL de pe partea clientului, în timpul solicitărilor de origine încrucișată. | Da/Nu |
| Afișați pagina web ca iFrame cu aceeași origine | Cunoscut și sub numele de X-Frame-Options, permite afișarea paginii într-un iframe numai dacă solicitarea are aceeași origine. | Da/Nu |
| Blocați detectarea MIME | Cunoscut și sub numele de X-Content-Type-Options: no-sniff, acesta ajută la împiedicarea browserelor să detecteze tipul MIME (tip de conținut) sau să ghicească tipul de conținut al unei resurse. | Da/Nu |
Configurați module cookie (CSP)
Antetul Cookie într-o solicitare HTTP conține informații despre module cookie stocate anterior de un site web în browserul dumneavoastră. Când vizitați un site web, browserul dvs. trimite înapoi la server un antet Cookie care conține toate modulele cookie relevante asociate cu site-ul respectiv.
Directive
Următoarele directive sunt acceptate.
| Directivă | Descriere | Antet |
|---|---|---|
| Reguli de transfer pentru toate modulele cookie | Controlați modul în care sunt trimise cookie-urile cu solicitări de origine încrucișată. Este o caracteristică de securitate care vizează atenuarea anumitor tipuri de atacuri de falsificare a cererilor între site-uri (CSRF) și de scurgere de informații. | Această setare corespunde antetului SameSite/Default. |
| Reguli de transfer pentru anumite module cookie | Controlați modul în care sunt trimise cookie-urile cu solicitări de origine încrucișată. Este o caracteristică de securitate care vizează atenuarea anumitor tipuri de atacuri de falsificare a cererilor între site-uri (CSRF) și de scurgere de informații. | Această setare corespunde antetului SameSite/Specific cookie. |
Configurați Politica de Permisiuni (CSP)
Antetul Permissions-Policy permite dezvoltatorilor web să controleze ce caracteristici ale platformei web sunt permise sau refuzate pe o pagină web.
Directive
Următoarele directive sunt acceptate și controlează accesul la API-urile respective.
- Accelerometer
- Ambient-Light-Sensor
- Redați automat
- Battery
- Camera
- Afișare
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocație
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfon
- Midi
- Otp-Credentials
- Plată
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configurați mai multe anteturi HTTP
Permite conexiunea securizată prin HTTPS
Setarea corespunzătoare antetului HTTP Strict-Transport-Security informează browserul că acesta ar trebui să se conecteze la site numai prin HTTPS, chiar dacă utilizatorul introduce „http:// " în bara de adrese. Ajută la prevenirea atacurilor „man-in-the-middle”, asigurându-se că toată comunicarea cu serverul este criptată și proteja împotriva anumitor tipuri de atacuri, cum ar fi atacurile de downgrade a protocolului și deturnarea cookie-urilor.
Notă
Din motive de securitate, această setare nu poate fi modificată.
Includeți informații de referință în antetele HTTP
Antetul HTTP Referrer-Policy este folosit pentru a controla câte informații despre originea cererii (informații referitor) sunt dezvăluite în anteturile HTTP atunci când un utilizator navighează de la o pagină la alta. Acest antet ajută la controlul aspectelor de confidențialitate și securitate legate de informațiile de referință.
| Valoare | Descriere |
|---|---|
| Niciun nume de gazdă de referință | Fără referință înseamnă că nu sunt trimise informații despre referitor în anteturi. Această setare este opțiunea cea mai atentă la confidențialitate. |
| Niciun nume de gazdă de referință când se face downgrade | Trimite informațiile complete de referință atunci când navigați de la un site HTTPS la un site HTTP, dar numai originea (fără cale sau interogare) atunci când navigați între site-uri HTTPS. |
| Aceeași origine - Politică referitor | Same-origin trimite informațiile complete de referință numai atunci când cererea este la aceeași origine. Pentru cererile cu origini încrucișate, este trimisă doar originea. |
| Origine | Origine trimite originea referrerului, dar nicio cale sau informații despre interogare, atât pentru cereri de aceeași origine, cât și pentru cererile de origine încrucișată. |
| Origine strictă | Similară cu originea, dar trimite informații despre numele gazdei de referință numai pentru solicitările cu aceeași origine. |
| Originea când este încrucișată | Similară cu originea, dar trimite informații despre numele gazdei de referință numai pentru solicitările cu aceeași origine. |