Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
[Ten artykuł stanowi wstępne wydanie dokumentacji i może ulec zmianie.]
Obszar roboczy Zabezpieczenia umożliwia dalszą ochronę zawartości i danych witryny przed zagrożeniami bezpieczeństwa bezpośrednio z poziomu programu Power Pages design Studio. Skonfigurowanie ustawień zaawansowanego umożliwia szybkie i wydajne skonfigurowanie nagłówków HTTP witryny, skonfigurowanie zasad zabezpieczeń zawartości (CSP), udostępniania zasobów między pochodzenia (CORS), plików cookie, uprawnień i innych narzędzi.
Ważne
- Jest to funkcja w wersji zapoznawczej.
- Funkcje w wersji zapoznawczej nie są przeznaczone do użytku w środowiskach produkcyjnych i mogą mieć ograniczoną funkcjonalność. Te funkcje podlegają dodatkowych warunkom użytkowania i są udostępniane przed oficjalnym wydaniem, dzięki czemu klienci mogą szybciej uzyskać do nich dostęp i przekazać opinie na ich temat.
- Zaloguj się do usługi Power Pages i otwórz ją do edycji.
- Wybierz Obszar roboczy zabezpieczeń z lewej nawigacji, a następnie wybierz opcję Ustawienia zaawansowane (wersja zapoznawcza)
Skonfiguruj zasady zabezpieczeń zawartości (CSP)
Zasady zabezpieczeń zawartości (CSP) są używane przez serwery sieci Web w celu wymuszania zestawu reguł zabezpieczeń dla strony sieci Web. Pomaga chronić witryny przed różnymi typami ataków zabezpieczeń, takich jak wykonywanie skryptów między witrynami (XSS), iniekcja danych i inne ataki iniekcji kodu.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Opis |
|---|---|
| Źródło domyślne | Określa domyślne źródło zawartości, która nie jest jawnie zdefiniowana przez inne dyrektywy. Działa jako rezerwowy dla innych osób. |
| Źródło obrazu | Określa prawidłowe źródła obrazów i steruje domenami, z których można załadować obrazy. |
| Źródło czcionek | Określa prawidłowe źródła czcionek. Używany do kontrolowania domen, z których można ładować czcionek sieci Web. |
| Źródło skryptów | Określa prawidłowe źródła kodu JavaScript. Źródło skryptu może zawierać określone domeny i „self” dla tego samego źródła. Wybierz, czy włączyć nonce, czy zezwolić na niebezpieczne eval. |
| Źródło stylów | Określa prawidłowe źródła arkuszy stylów. Podobnie jak script-src, może zawierać domeny i "self". |
| Połącz źródło | Określa prawidłowe źródła dla pliku XMLHttpRequest, WebSocket lub EventSource. Steruje domenami, do których strona może być żądaniami sieciowych. |
| Źródło multimediów | Określa prawidłowe źródła dźwiękowe i wideo. Używany do kontrolowania domen, z których można ładować zasobów multimedialnych. |
| Źródło ramek | Określa prawidłowe źródła ramek. Steruje domenami, z których strona może osadzać ramki. |
| Element nadrzędny ramki | Określa prawidłowe źródła, które mogą osadzać bieżącą stronę jako ramkę. Określa, które domeny mogą osadzać stronę. |
| Z akcji | Określa prawidłowe źródła przesyłania formularzy. Określa domeny, do których mogą być wysyłane dane formularza. |
| Źródło obiektów | Określa prawidłowe źródła zasobów elementu obiektu, takie jak pliki programu Flash lub inne obiekty osadzone. Pomaga to w kontroli pochodzenia tych obiektów, z których można ładować te obiekty. |
| Źródło procesów roboczych | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
| Źródło manifestów | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
| Źródło podrzędne | Określa prawidłowe źródła dla pracowników sieci web, w tym pracowników dedykowanego, współużytkujących i pracowników usług. Pomaga to w kontroli pochodzenia tych skryptów pracowników, które można ładować i wykonywać. |
Dla każdej dyrektywy można wybrać określony adres URL, wszystkie domeny lub brak.
Aby uzyskać zaawansowane ustawienia konfiguracyjne, zobacz Zarządzanie zasadami zabezpieczeń zawartości witryny: Ustawienie CSP witryny.
Konfigurowanie udostępniania zasobów między pochodzenia (CORS)
Udostępnianie zasobów między źródłami (CORS) jest używane w przeglądarkach internetowych w celu zezwalania aplikacjom sieci web, które działają w jednej domenie, na żądanie zasobów z innej domeny i uzyskiwanie do nich dostępu, albo blokowania im tej możliwości.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Opis | Wartości |
|---|---|---|
| Zezwalaj na uzyskiwanie dostępu do zasobów z serwera | Znana także jako Kontrola dostępu do źródła pochodzenia pomaga określić, do których pochodzenia mogą mieć dostęp. Pochodzenia mogą to być domeny, protokoły i porty. | Wybieranie adresów URL domeny |
| Wysyłaj nagłówki podczas realizacji żądań serwera | Ustawienie znane też pod nazwą Access-Control-Allow-Headers ułatwia definiowanie nagłówków, które mogą być wysyłane w żądaniach z innego źródła w celu uzyskania dostępu do zasobów na serwerze. | Wybierz określone nagłówki z następującymi uprawnieniami Pochodzenia Zaakceptuj Autoryzacja Zawartość — wpisz |
| Uwidocznij wartości nagłówków w kodzie po stronie klienta | Ta dyrektywy, znana również jako Nagłówki dostępu-kontrola dostępu, instruuje przeglądarkę, w której nagłówki odpowiedzi powinny być uwidocznione i dostępne dla żądających kodu po stronie klienta w żądaniach między pochodzeniami. | Wybierz określone nagłówki z następującymi uprawnieniami Pochodzenia Zaakceptuj Autoryzacja Zawartość — wpisz |
| Definiuj metody dostępu do zasobów | Ustawienie znane też pod nazwą Access-Control-Allow-Methods ułatwia określanie, które metody HTTP są dozwolone podczas uzyskiwania dostępu do zasobów na serwerze z innego źródła. | GET —Żądania danych z określonego wpisu zasobów POST — przesyła dane, które mają być przetwarzane do określonego zasobu PUT — aktualizuje lub zastępuje zasób pod określonym adresem URL HEAD — taki sam jak GET, ale pobiera tylko nagłówki, a nie rzeczywistą zawartość PATCH — częściowo modyfikuje opcje zasobu OPTIONS — Żąda informacji o opcjach komunikacji dostępnych dla zasobu lub serwera DELETE — Usuwa określony zasób |
| Określ czas trwania buforowania wyników żądania | Ustawienie znane też pod nazwą Access-Control-Max-Age pomaga zdefiniować czas, przez jaki przeglądarka może buforować wyniki żądania wstępnej kontroli. | Określ czas trwania w razach (sekundy) |
| Zezwalaj witrynie na udostępnianie poświadczeń | Ustawienie znane też pod nazwą Access-Control-Allow-Credentials pomaga określić, czy witryna może udostępniać poświadczenia, takie jak pliki cookie, nagłówki autoryzacji lub certyfikaty SSL po stronie klienta, podczas realizacji żądań obejmujących wiele źródeł. | Tak/Nie |
| Wyświetlaj stronę internetową jako ramkę iFrame z tego samego źródła | Ustawienie znane też pod nazwą X-Frame-Options umożliwia wyświetlanie strony w ramce iFrame tylko wtedy, gdy żądanie pochodzi z tego samego źródła. | Tak/Nie |
| Blokuj wykrywanie typów MIME | Ustawienie znane też pod nazwą X-Content-Type-Options: no-sniff pomaga uniemożliwiać przeglądarkom internetowym wykonywanie operacji wykrywania typów MIME (content-type) lub „zgadywania” typu zawartości zasobu. | Tak/Nie |
Konfigurowanie plików cookie (CSP)
Nagłówek pliku cookie zawartego w żądaniu protokołu HTTP zawiera informacje o plikach cookie przechowywanych wcześniej przez witrynę sieci Web w przeglądarce użytkownika. Podczas wizyty w witrynie internetowej przeglądarka wysyła do serwera nagłówek pliku cookie zawierający wszystkie odpowiednie pliki cookie skojarzone z tą witryną.
Dyrektywy
Obsługiwane są następujące dyrektywy.
| Dyrektywa | Opis | Nagłówek |
|---|---|---|
| Reguły przenoszenia dla wszystkich plików cookie | Kontrola sposobu rozsyłania plików cookie w przypadku żądań między pochodzeniami. Jest to funkcja zabezpieczeń mająca na celu forsowanie niektórych typów fałszowania żądań między witrynami (CSRF) oraz ataków na informacje. | To ustawienie odpowiada nagłówkowi SameSite/Domyślny. |
| Reguły przenoszenia dla określonych plików cookie | Kontrola sposobu rozsyłania plików cookie w przypadku żądań między pochodzeniami. Jest to funkcja zabezpieczeń mająca na celu forsowanie niektórych typów fałszowania żądań między witrynami (CSRF) oraz ataków na informacje. | To ustawienie odpowiada nagłówkowi SameSite/Określony plik cookie. |
Konfigurowanie zasad uprawnień (CSP)
Nagłówek Permissions-Policy pozwala twórcom stron internetowych kontrolować, które funkcje platformy internetowej są dozwolone lub zabronione na stronie internetowej.
Dyrektywy
Następujące elementy są obsługiwane i sterują dostępem do odpowiednich interfejsów API.
- Akcelerometr
- Ambient-Light-Sensor
- Autoodtwarzanie
- Bateria
- Kamera
- Wyświetlanie
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Cały ekran
Gamepad
- Geolokalizacja
- Żyroskop
- Ukryj
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometr
- Mikrofon
- Midi
- Otp-Credentials
- Płatność
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Skonfiguruj więcej nagłówków HTTP
Zezwalaj na bezpieczne połączenie za pośrednictwem protokołu HTTPS
Ustawienie odpowiadające nagłówkowi HTTP -Transport-Security informuje przeglądarkę, że ma się łączyć z witryną sieci Web tylko za pośrednictwem protokołu HTTPS, nawet jeśli na pasku adresu użytkownik wprowadzi wartość „http://”. Pomaga to zapobiec atakom typu man-in-the-middle, zapewniając, że cała komunikacja z serwerem jest szyfrowana i chroni przed pewnymi typami ataków, np. atakami obniżenia jakości protokołu i przetwarzaniem plików cookie.
Uwaga
Ze względów bezpieczeństwa nie można zmodyfikować tego ustawienia.
Uwzględniaj informacje o źródle odwołania w nagłówkach HTTP
Nagłówek HTTP Referrer-Policy określa, ile informacji o pochodzeniu żądania (informacje odwołujące) są ujawniane w nagłówkach HTTP, gdy użytkownik przechodzi z jednej strony do innej. Ten nagłówek ułatwia kontrolowanie aspektów prywatności i zabezpieczeń związanych z informacjami odsyłającymi.
| Wartość | Opis |
|---|---|
| Brak źródła odwołania | Brak informacji odwołującej się do użytkownika oznacza, że w nagłówkach nie są wysyłane żadne informacje o stronie odwołującej się. To ustawienie jest opcją, która najczęściej dotyczy ochrony prywatności. |
| Brak źródła odwołania przy zmianie na starszą lub mniej zaawansowaną wersję | Podczas nawigowania między witrynami HTTPS do witryny HTTP są wysyłane pełne informacje odwołujące się do tego adresu, ale tylko pochodzenia (brak ścieżki ani zapytania). |
| Te same pochodzenia — zasady odwołań | To samo pochodzenia powoduje wysłanie pełnych informacji odsyłających tylko wtedy, gdy żądanie dotyczy tego samego pochodzenia. W przypadku żądań pochodzenia między pochodzenia wysyłane są tylko pochodzenia. |
| Pochodzenie | Pochodzenia wysyła pochodzenia odwołującego się, ale nie zawiera informacji o ścieżkach i zapytaniach, zarówno w przypadku żądań pochodzenia samego, jak i między pochodzenia. |
| Ścisłe źródło | Podobnie jak w przypadku źródła, ale wysyła informacje dotyczące źródła odwołania tylko w przypadku żądań z tego samego źródła. |
| Źródło w przypadku użycia wielu źródeł | Podobnie jak w przypadku źródła, ale wysyła informacje dotyczące źródła odwołania tylko w przypadku żądań z tego samego źródła. |