Impostazioni avanzate (anteprima)
[Questo argomento fa parte della documentazione di pre-rilascio, pertanto è soggetto a modifiche.]
L'area di lavoro Sicurezza ti consente di proteggere ulteriormente i contenuti e i dati del tuo sito dalle minacce alla sicurezza, direttamente da Power Pages Design Studio. Utilizza le impostazioni avanzate per configurare le intestazioni HTTP del tuo sito in modo rapido ed efficiente, configurare Content Security Policy (CSP), la condivisione di risorse tra le origini (CORS), i cookie, le autorizzazioni e altro ancora.
Importante
- Questa è una funzionalità di anteprima.
- Le funzionalità di anteprima non sono destinate ad essere utilizzate per la produzione e sono soggette a restrizioni. Queste funzionalità sono disponibili prima di una versione ufficiale di modo che i clienti possano ottenere un accesso prioritario e fornire dei commenti.
- Accedi a Power Pages e apri il tuo sito per modificarlo.
- Seleziona Area di lavoro Sicurezza dal menu di spostamento a sinistra, quindi scegli Impostazioni avanzate (anteprima).
Configura Content Security Policy (CSP)
Content Security Policy, o CSP, viene utilizzato dai server Web per applicare una serie di regole di sicurezza per una pagina Web. Aiuta a proteggere i siti da vari tipi di attacchi alla sicurezza come lo scripting intersito (XSS), l'inserimento di dati e altri attacchi di inserimento di codice.
Direttive
Le direttive seguenti sono supportate.
| Direttiva | Descrizione |
|---|---|
| Origine predefinita | Specifica l'origine predefinita per il contenuto non definito esplicitamente da altre direttive. Funziona come fallback per altre direttive. |
| Origine immagine | Specifica origini valide per le immagini. Controlla i domini da cui possono essere caricate le immagini. |
| Origine tipo di carattere | Specifica origini valide per i caratteri. Utilizzato per controllare i domini da cui possono essere caricati i caratteri Web. |
| Origine script | Specifica origini valide per il codice JavaScript. L'origine dello script può includere domini specifici, "self" per la stessa origine, "unsafe-inline" per script inline e "nonce-xyz" per script con un nonce specifico. Scegli di abilitare nonce o inserire una valutazione non sicura. Ulteriori informazioni: Gestire i criteri di sicurezza contenuto del sito: Abilita una volta |
| Origine stile | Specifica origini valide per i fogli di stile. Simile a script-src, può includere domini, "self", "unsafe-inline" e "nonce-xyz". |
| Connetti origine | Specifica origini valide per XMLHttpRequest, WebSocket o EventSource. Controlla i domini a cui la pagina può effettuare richieste di rete. |
| Origini elementi multimediali | Specifica le origini valide per audio e video. Utilizzato per controllare i domini da cui possono essere caricate risorse multimediali. |
| Origine frame | Specifica origini valide per i frame. Controlla i domini da cui la pagina può incorporare frame. |
| Frame Ancestors | Specifica origini valide che possono integrare la pagina corrente come frame. Controlla quali domini sono autorizzati a incorporare la pagina. |
| Azione del modulo | Specifica origini valide per l'invio di moduli. Definisce i domini a cui possono essere inviati i dati del modulo. |
| Origine oggetto | Specifica origini valide per le risorse dell'articolo dell'oggetto, come file Flash o altri oggetti integrati. Aiuta a controllare da quali origini possono essere caricati questi oggetti. |
| Origine worker | Specifica origini valide per i lavoratori Web, inclusi lavoratori dedicati, lavoratori condivisi e lavoratori del servizio. Aiuta a controllare da quali origini possono essere caricati ed eseguiti questi script per i dipendenti. |
| Origine manifesto | Specifica origini valide per i lavoratori Web, inclusi lavoratori dedicati, lavoratori condivisi e lavoratori del servizio. Aiuta a controllare da quali origini possono essere caricati ed eseguiti questi script per i dipendenti. |
| Origine figlio | Specifica origini valide per i lavoratori Web, inclusi lavoratori dedicati, lavoratori condivisi e lavoratori del servizio. Aiuta a controllare da quali origini possono essere caricati ed eseguiti questi script per i dipendenti. |
Per ciascuna direttiva puoi scegliere un URL specifico, tutti i domini o nessuno.
Per la configurazione avanzata, vai a Gestire i criteri di sicurezza contenuto del sito: Imposta il CSP del sito.
Configurare la condivisione di risorse tra le origine (Configure Cross-Origin Resource Sharing - CORS)
La condivisione di risorse tra origini, o CORS, viene utilizzata dai web browser per consentire o limitare le applicazioni Web eseguite in un dominio per richiedere e accedere alle risorse da un altro dominio.
Direttive
Le direttive seguenti sono supportate.
| Direttiva | Descrizione | Valori |
|---|---|---|
| Consenti l'accesso alle risorse dal server | Conosciuto anche come Access-Control-Allow-Origin, aiuta il server a decidere a quali origini è consentito accedere alle sue risorse. Le origini possono essere domini, protocolli e porte. | Scegli gli URL del dominio |
| Invia intestazioni durante le richieste del server | Nota anche come Access-Control-Allow-Headers, consente di definire le intestazioni che possono essere inviate nelle richieste di una diversa origine per accedere alle risorse sul server. | Scegli intestazioni specifiche con le seguenti autorizzazioni Origine Accetta Autorizzazione Contenuto - Tipo |
| Esponi i valori dell'intestazione nel codice lato client | Conosciuta anche come Access-Control-Expose-Headers, questa direttiva indica al browser quali intestazioni di risposta devono essere esposte e rese accessibili al codice lato client richiedente nelle richieste multiorigine. | Scegli intestazioni specifiche con le seguenti autorizzazioni Origine Accetta Autorizzazione Contenuto - Tipo |
| Definisci i metodi per accedere alle risorse | Nota anche come Access-Control-Allow-Methods, consente di definire i metodi HTTP consentiti per l'accesso alle risorse in un server da un'origine diversa. | GET: richiede dati da una risorsa specificata POST: invia i dati da elaborare a una risorsa specificata PUT: aggiorna o sostituisce una risorsa in un URL specifico HEAD: uguale a GET ma recupera solo le intestazioni e non il contenuto effettivo PATCH: modifica parzialmente una risorsa OPZIONI: richiede informazioni sulle opzioni di comunicazione disponibili per una risorsa o un server DELETE: elimina la risorsa specificata |
| Specifica la durata per la memorizzazione nella cache dei risultati della richiesta | Nota anche come Access-Control-Max-Age, consente di definire la durata per cui i risultati di una richiesta di verifica preliminare possono essere memorizzati nella cache dal browser. | Specifica la durata in tempi (secondi) |
| Consenti al sito di condividere le credenziali | Nota anche come Access-Control-Allow-Credentials, contribuisce a determinare se il sito può condividere credenziali (come cookie, intestazioni di autorizzazione o certificati SSL lato client) durante richieste multiorigine. | Sì/No |
| Visualizza la pagina web come iFrame dalla stessa origine | Nota anche come X-Frame-Options, consente di visualizzare la pagina in un iFrame solo se la richiesta proviene dalla stessa origine. | Sì/No |
| Blocca lo sniffing MIME | Nota anche come X-Content-Type-Options: no-sniff, contribuisce a impedire ai Web browser di eseguire lo sniffing del tipo MIME (tipo di contenuto) o indovinare il tipo di contenuto di una risorsa. | Sì/No |
Configurare i cookie (CSP)
L'intestazione Cookie in una richiesta HTTP contiene informazioni sui cookie precedentemente archiviati da un sito Web nel tuo browser. Quando visiti un sito Web, il tuo browser invia al server un'intestazione cookie contenente tutti i cookie rilevanti associati a quel sito.
Direttive
Le direttive seguenti sono supportate.
| Direttiva | Descrizione | Intestazione |
|---|---|---|
| Regole di trasferimento per tutti i cookie | Controlla il modo in cui i cookie vengono inviati con richieste con più origini. Si tratta di una funzionalità di sicurezza volta a mitigare alcuni tipi di attacchi CSRF (richiesta intersito falsa) e fuga di informazioni. | Questa impostazione corrisponde all'intestazione SameSite/Default. |
| Regole di trasferimento per cookie specifici | Controlla il modo in cui i cookie vengono inviati con richieste con più origini. Si tratta di una funzionalità di sicurezza volta a mitigare alcuni tipi di attacchi CSRF (richiesta intersito falsa) e fuga di informazioni. | Questa impostazione corrisponde all'intestazione SameSite/Specific cookie. |
Configurare Permissions-Policy (CSP)
L'intestazione Permissions-Policy consente agli sviluppatori Web di controllare quali funzionalità della piattaforma Web sono consentite o negate su una pagina Web.
Direttive
Le seguenti direttive sono supportate e controllano l'accesso alle rispettive API.
- Accelerometer
- Ambient-Light-Sensor
- Riproduzione automatica
- Battery
- Fotocamera
- Display
- Document-Domain
- Encrypted-Media
- Execution-While-Not-Rendered
- Execution-While-Out-Of-Viewport
- Fullscreen
Gamepad
- Geolocation
- Gyroscope
- Hid
- Identity-Credentials-Get
- Idle-Detection
- Local-Fonts
- Magnetometer
- Microfono
- Midi
- Otp-Credentials
- Pagamento
- Picture-In-Picture
- Publickey-Credentials-Create
- Publickey-Credentials-Get
- Screen-Wake-Lock
- Serial
- Speaker-Selection
- Storage-Access
- Usb
- Web-Share
- Window-Management
- Xr-Spatial-Tracking
Configura altre intestazioni HTTP
Consenti la connessione sicura su HTTPS
L'impostazione corrispondente all'intestazione HTTP Strict-Transport-Security informa il browser che dovrebbe connettersi al sito Web solo tramite HTTPS, anche se l'utente inserisce "http:// "nella barra degli indirizzi. Aiuta a prevenire gli attacchi man-in-the-middle garantendo che tutte le comunicazioni con il server siano crittografate e proteggendo da determinati tipi di attacchi, come attacchi di downgrade del protocollo e dirottamento dei cookie.
Nota
Per motivi di sicurezza, questa impostazione non può essere modificata.
Includi informazioni sul referrer nelle intestazioni HTTP
L'intestazione HTTP Referrer-Policy viene utilizzata per controllare quante informazioni sull'origine della richiesta (informazioni sul referrer) vengono divulgate nelle intestazioni HTTP quando un utente naviga da una pagina all'altra. Questa intestazione aiuta a controllare gli aspetti di privacy e sicurezza relativi alle informazioni del referrer.
| valore | Descrizione |
|---|---|
| Nessun referrer | No-referrer significa che nessuna informazione sul referrer viene inviata nelle intestazioni. Questa impostazione è l'opzione più attenta alla privacy. |
| Nessun referrer durante il downgrade | Invia le informazioni complete sul referrer durante la navigazione da un sito HTTPS a un sito HTTP ma solo l'origine (nessun percorso o query) durante la navigazione tra siti HTTPS. |
| Stessa origine: Referrer-Policy | Stessa origine invia le informazioni complete sul referrer solo quando la richiesta è indirizzata alla stessa origine. Per le richieste con più origini, viene inviata solo l'origine. |
| Origine | L'origine invia l'origine del referrer, ma nessuna informazione sul percorso o sulla query, sia per le richieste della stessa origine che per quelle con più origini. |
| Origine limitata | Simile all'origine, ma invia solo informazioni sul referrer per richieste della stessa origine. |
| Origine se tra origini | Simile all'origine, ma invia solo informazioni sul referrer per richieste della stessa origine. |