Розширені параметри (підготовча версія)
[Ця тема є передрелізною документацією та може бути змінена.]
Робоча область Security дозволяє додатково захистити контент і дані вашого сайту від загроз безпеці, безпосередньо від Power Pages студії дизайну. Використовуйте додаткові налаштування, щоб швидко та ефективно налаштовувати HTTP-заголовки вашого сайту, налаштовувати політику безпеки вмісту (CSP), спільний доступ до ресурсів cross Origin (CORS), файли cookie, дозволи тощо.
Важливо
- Це функція попереднього перегляду.
- Підготовчі функції призначені для невиробничого використання і можуть бути обмежені. Ці функції доступні до офіційного випуску, щоб клієнти могли ознайомитися з ними заздалегідь і залишити відгуки.
- Авторизуйтесь Power Pages та відкрийте свій сайт для редагування.
- На навігації ліворуч виберіть Security Workspace , а потім виберіть Додаткові налаштування (підготовча версія).
Налаштування політики безпеки вмісту (CSP)
політика безпеки вмісту (CSP) використовується веб-серверами для забезпечення дотримання набору правил безпеки для веб-сторінки. Це допомагає захистити сайти від різних типів атак на безпеку, таких як міжсайтовий скриптинг (XSS), ін’єкція даних та інші атаки з використанням коду.
Директиви
Підтримуються наступні директиви.
| Директива | Опис |
|---|---|
| Стандартне джерело | Вказує джерело за замовчуванням для вмісту, який явно не визначено іншими директивами. Він діє як запасний варіант для інших директив. |
| Джерело образа | Вказує допустимі джерела для зображень. Керує доменами, з яких можна завантажувати зображення. |
| Джерело шрифтів | Вказує допустимі джерела для шрифтів. Використовується для управління доменами, з яких можуть завантажуватися веб-шрифти. |
| Джерело скриптів | Вказує допустимі джерела для коду JavaScript. Джерело скрипту може включати конкретні домени, ’self’ для того самого джерела, ’unsafe-inline’ для вбудованих скриптів та ’nonce-xyz’ для скриптів із конкретним nonce. Виберіть, щоб увімкнути nonce або ввести небезпечну eval. Дізнайтеся більше в статті Керування політикою безпеки вмісту вашого сайту: Увімкніть nonce |
| Джерело стилів | Вказує коректні джерела для таблиць стилів. Подібно до script-src, він може включати домени, ’self’, ’unsafe-inline’ та ’nonce-xyz’. |
| Підключити джерело | Вказує допустимі джерела для XMLHttpRequest, WebSocket або EventSource. Контролює домени, до яких сторінка може робити мережеві запити. |
| Джерело медіафайлів | Визначає допустимі джерела звуку та відео. Використовується для контролю доменів, з яких можуть бути завантажені медіаресурси. |
| Джерело фреймів | Вказує допустимі джерела для кадрів. Керує доменами, з яких сторінка може вбудовувати фрейми. |
| Предки рамок | Вказує допустимі джерела, які можуть вбудовувати поточну сторінку як фрейм. Керує, яким доменам дозволено вбудовувати сторінку. |
| Форма дії | Вказує коректні джерела для надсилання форм. Визначає домени, на які можна надсилати дані форми. |
| Джерело об’єктів | Вказує допустимі джерела для ресурсів елемента об’єкта, таких як Flash-файли або інші вбудовані об’єкти. Це допомагає контролювати, з яких джерел можуть бути завантажені ці об’єкти. |
| Джерело скриптів Worker | Визначає дійсні джерела для веб-працівників, зокрема відданих працівників, спільних працівників і працівників служб. Це допомагає контролювати, з якого джерела ці робочі скрипти можуть завантажуватися та виконуватися. |
| Джерело маніфестів | Визначає дійсні джерела для веб-працівників, зокрема відданих працівників, спільних працівників і працівників служб. Це допомагає контролювати, з якого джерела ці робочі скрипти можуть завантажуватися та виконуватися. |
| Дочірнє джерело | Визначає дійсні джерела для веб-працівників, зокрема відданих працівників, спільних працівників і працівників служб. Це допомагає контролювати, з якого джерела ці робочі скрипти можуть завантажуватися та виконуватися. |
Для кожної директиви ви можете вибрати конкретну URL-адресу, всі домени або жодного.
Для розширеної конфігурації перейдіть до розділу Керування політикою безпеки вмісту вашого сайту: Установіть CSP вашого сайту.
Налаштування спільного доступу до ресурсів між різними джерелами (CORS)
Спільне використання ресурсів між різними джерелами (CORS) використовується веб-браузерами, щоб дозволити або обмежити веб-програми, які працюють в одному домені, запитувати та отримувати доступ до ресурсів з іншого домену.
Директиви
Підтримуються наступні директиви.
| Директива | Опис | Значення |
|---|---|---|
| Дозволити доступ до ресурсів із сервера | Також відомий як Access-Control-Allow-Origin, допомагає серверу вирішити, яким джерелам дозволено доступ до його ресурсів. Джерелами можуть бути домени, протоколи та порти. | Виберіть URL-адреси доменів |
| Надсилати заголовки під час виконання запитів до сервера | Також відомий як Access-Control-Allow-Headers, цей заголовок визначає, які заголовки інше джерело може відправляти в запитах на доступ до ресурсів на сервері. | Виберіть конкретні заголовки з наступними дозволами: Походження Прийняти авторизацію Контент – тип |
| Показувати значення заголовків у клієнтському коді | Також відома як Access-Control-Expose-Headers, ця директива вказує браузеру, на які заголовки відповідей повинні бути відкриті та доступні для запитуючого коду на стороні клієнта в запитах між різними джерелами. | Виберіть конкретні заголовки з наступними дозволами: Походження Прийняти авторизацію Контент – тип |
| Визначити методи отримання доступу до ресурсів | Також відомий як Access-Control-Allow-Methods, допомагає визначити, які методи HTTP дозволені при доступі до ресурсів на сервері з іншого походження. | GET - Запитує дані з вказаного ресурсу POST - Відправляє дані для обробки на вказаний ресурс PUT - Оновлює або замінює ресурс за певною URL-адресою HEAD - Те ж саме, що і GET, але отримує тільки заголовки, а не фактичний контент PATCH - Частково змінює ресурс OPTIONS - Запитує інформацію про доступні для ресурсу або сервера варіанти зв’язку. DELETE - Видаляє вказаний ресурс |
| Указати тривалість кешування результатів запиту | Також відомий як Access-Control-Max-Age, цей заголовок визначає тривалість кешування браузером результатів попереднього запиту. | Укажіть тривалість у часі (секундах) |
| Дозволити сайту ділитися обліковими даними | Також відомий як Access-Control-Allow-Credentials, цей заголовок визначає, чи може веб-сайт ділитися обліковими даними (наприклад, файлами cookie, заголовками авторизації або клієнтськими сертифікатами SSL) під час виконання запитів, що не залежать від джерела. | Так або ні |
| Відображати веб-сторінку як iFrame з того самого джерела | Також відомий як X-Frame-Options, цей заголовок дозволяє сторінці відображатися лише в iFrame, якщо запит надходить із того самого джерела. | Так або ні |
| Блокувати аналіз MIME | Також відомий як X-Content-Type-Options: no-sniff, цей заголовок забороняє виконувати аналіз трафіку типу MIME (тип вмісту) або вгадувати тип вмісту ресурсу. | Так або ні |
Налаштування файлів cookie (CSP)
Заголовок Cookie в HTTP-запиті містить інформацію про файли cookie, які раніше зберігалися веб-сайтом у вашому браузері. Коли ви відвідуєте веб-сайт, ваш браузер надсилає заголовок файлу cookie, що містить усі відповідні файли cookie, пов’язані з цим сайтом, назад на сервер.
Директиви
Підтримуються наступні директиви.
| Директива | Опис | Заголовок |
|---|---|---|
| Правила передавання для всіх файлів cookie | Контролюйте, як файли cookie надсилаються за допомогою запитів між різними джерелами. Це функція безпеки, спрямована на пом’якшення певних типів атак із підробкою міжсайтових запитів (CSRF) та витоку інформації. | Цей параметр відповідає заголовку SameSite/Default. |
| Правила передавання для певних файлів cookie | Контролюйте, як файли cookie надсилаються за допомогою запитів між різними джерелами. Це функція безпеки, спрямована на пом’якшення певних типів атак із підробкою міжсайтових запитів (CSRF) та витоку інформації. | Цей параметр відповідає заголовку SameSite/Specific cookie. |
Налаштування політики дозволів (CSP)
Заголовок «Політика дозволів» дозволяє веб-розробникам контролювати, які функції веб-платформи дозволені або заборонені на веб-сторінці.
Директиви
Наступні директиви підтримуються та керують доступом до відповідних API.
- Accelerometer
- Ambient-Light-Sensor
- Автовідтворення
- Battery
- Камера
- Відобразити
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Визначення географічного положення
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Мікрофон
- Midi
- Otp-Credentials
- Оплата
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Налаштуйте більше HTTP-заголовків
Дозволити безпечне з’єднання через HTTPS
Налаштування, що відповідає заголовку HTTP Strict-Transport-Security, інформує браузер про те, що він повинен підключатися до веб-сайту тільки через HTTPS, навіть якщо користувач введе «http://» в адресному рядку. Це допомагає запобігти атакам типу "людина посередині", гарантуючи, що весь зв’язок із сервером зашифровано, і захищає від певних типів атак, таких як атаки на пониження версії протоколу та викрадення файлів cookie.
Нотатка
З міркувань безпеки цей параметр не можна змінити.
Включення інформації про перенаправлення в заголовки HTTP
HTTP-заголовок Referrer-Policy використовується для контролю того, скільки інформації про походження запиту (referrer information) розкривається в HTTP-заголовках, коли користувач переходить з однієї сторінки на іншу. Цей заголовок допомагає контролювати аспекти конфіденційності та безпеки, пов’язані з інформацією про перенаправлення.
| Цінність | Опис |
|---|---|
| No-referrer | Відсутність перенаправлення означає, що в заголовках не надсилається інформація про перенаправлення. Цей параметр є найбільш дбайливим до конфіденційності. |
| No-Referrer-When-Downgrade | Він надсилає повну інформацію про переходів під час переходу з HTTPS на сайт HTTP, але лише походження (без шляху чи запиту) під час навігації між сайтами HTTPS. |
| Те саме походження - Реферер-політика | Same-origin надсилає повну інформацію про реферера лише тоді, коли запит надходить до того самого джерела. Для запитів між різними джерелами надсилається лише джерело походження. |
| Джерело | Origin надсилає джерело переходу, але не містить інформацію про шлях або запит, як для запитів з однаковим походженням, так і для запитів із перехресним походженням. |
| Strict-Origin | Подібно до origin, але надсилає інформацію про джерело трафіку лише для запитів із того самого джерела. |
| Origin-When-Cross-Origin | Подібно до origin, але надсилає інформацію про джерело трафіку лише для запитів із того самого джерела. |