Gérer la stratégie de sécurité de contenu
Notes
À compter du 12 octobre 2022, le portail Power Apps devient Power Pages. Plus d’informations : Microsoft Power Pages est maintenant généralement disponible (blog)
Nous allons bientôt migrer et fusionner la documentation des portails Power Apps avec la documentation de Power Pages.
La stratégie de sécurité du contenu (CSP) est une couche de sécurité supplémentaire qui permet de détecter et d’atténuer certains types d’attaques Web telles que le vol de données, la dégradation de sites ou la diffusion de logiciels malveillants. La CSP fournit un ensemble complet de directives stratégiques qui aident à contrôler les ressources qu’une page de site est autorisée à charger. Chaque directive définit les restrictions pour un type spécifique de ressource.
Lorsque la CSP est activée pour un site Web de portails, il contribue à renforcer la sécurité en bloquant les connexions, les scripts, les polices et d’autres types de ressources provenant de sources inconnues ou malveillantes. La CSP est désactivée par défaut dans les portails ; cependant, de nombreux sites Web peuvent nécessiter la CSP pour améliorer d’autres aspects de sécurité.
Pour plus d’informations sur la CSP, voir Référence de la stratégie de sécurité du contenu.
Configurer la CSP
Connectez-vous à Power Apps.
Assurez-vous que vous êtes dans l’environnement où votre portail existe.
Sur le volet de gauche, sélectionnez Applications et localisez l’application Gestion des portails.
Dans le volet de gauche, sélectionnez Paramètres de site.
Créez ou mettez à jour le paramètre de site HTTP/Content-Security-Policy et définissez les valeurs requises mentionnées dans la Référence CSP, séparées par des points-virgules.
Exemple
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Activer Nonce
L’activation de Nonce (nombre utilisé une fois) bloquera l’exécution de tous les scripts en ligne, à l’exception de ceux spécifiés dans le script en ligne. Un nonce cryptographique unique est généré et ajouté à chaque script spécifié dans l’en-tête CSP. Le Nonce dans les portails prend uniquement en charge les scripts en ligne et les gestionnaires d’événements en ligne. Pour plus d’informations sur le Nonce, voir Utiliser un nonce avec la CSP.
Pour activer le Nonce dans les portails, ajoutez la valeur script-src ’nonce’; au paramètre de site HTTP/Content-Security-Policy.
Exemples
Si vous souhaitez une politique stricte et que vous ne souhaitez pas autoriser le chargement de scripts à partir de sources extérieures aux portails :
script-src 'self' content.powerapps.com 'nonce'
Si vous souhaitez charger des scripts à partir de n’importe quelle source sécurisée :
script-src https: 'nonce'
Notes
- Lorsque nonce est activé, unsafe-eval est automatiquement injecté pour soutenir l’évaluation automatique du code non sécurisé. Pour désactiver l’injection automatique de unsafe-eval, mettez à jour le paramètre de site HTTP/Content-Security-Policy/Inject-unsafe-eval sur false.
- Si l’injection de unsafe-eval est désactivée, la validation des champs générés automatiquement sur les formulaires de base ou avancés peut ne plus fonctionner correctement.