Condividi tramite

Gestire i criteri di sicurezza del contenuto del sito

  • Articolo

I criteri di sicurezza del contenuto (CSP) sono un ulteriore livello di sicurezza che aiuta a rilevare e mitigare alcuni tipi di attacchi Web come il furto di dati, la distruzione del sito o la distribuzione di malware. I CSP forniscono un'ampia serie di direttive dei criteri che consentono di controllare le risorse che una pagina del sito può caricare. Ciascuna direttiva definisce le restrizioni per un tipo specifico di risorsa.

Quando i CSP sono attivati per un sito Power Pages, aiutano a migliorare la sicurezza bloccando connessioni, script, caratteri e altri tipi di risorse che provengono da fonti sconosciute o dannose.

Per impostazione predefinita, CSP è disattivato. Tuttavia, i siti Web potrebbero richiedere CSP per migliorare la sicurezza.

Usa l'app Gestione del portale per gestire CSP.

Imposta i CSP del sito

  1. Accedi a Power Pages e apri il tuo sito per modificarlo.

  2. Nel riquadro laterale sinistro, seleziona Altri elementi () >Gestione del portale.

  3. Nel riquadro laterale sinistro dell'app Gestione del portale, seleziona Impostazioni sito.

  4. Crea o modifica l'impostazione del sito HTTP/Content-Security-Policy.

  5. Imposta i valori di cui hai bisogno dal Riferimento CSP, separati da punto e virgola; ad esempio, script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

Attiva nonce

Un nonce rappresenta un codice, solitamente numerico, che deve essere utilizzato solo una volta ("numero una volta"). Quando usi un nonce con il CSP del tuo sito, un codice crittografico univoco viene generato e aggiunto a ogni script specificato nell'intestazione dei CSP. Solo gli script inline che hanno un attributo nonce che corrisponde a quello nel CSP possono essere eseguiti. Gli script che un utente malintenzionato potrebbe aver inserito nella pagina vengono bloccati perché non includono l'attributo nonce. Ulteriori informazioni sull'utilizzo di nonce con CSP.

Nei siti Power Pages, nonce supporta solo script inline e gestori di eventi inline.

Per abilitare Nonce per il tuo sito, aggiungi il valore script-src 'nonce'; all'impostazione del sito HTTP/Criteri di sicurezza dei contenuti. Seguono alcuni esempi.

  • Se desideri criteri rigorosi che non consentono il caricamento di script da origini esterne al sito Power Pages, aggiungi il seguente valore all'impostazione del sito HTTP/Content-Security-Policy: script-src 'self' content.powerapps.com 'nonce'

  • Se vuoi caricare script da qualsiasi origine sicura, aggiungi il valore seguente: script-src https: 'nonce'

Quando nonce è attivato, unsafe-eval viene iniettato per supportare la valutazione automatica del codice non sicuro. Per disabilitare l'inserimento automatico unsafe-eval, modifica l'impostazione del sito HTTP/Content-Security-Policy/Inject-unsafe-eval su False. Tieni presente che se l'inserimento unsafe-eval è disattivato, la convalida dei campi generati automaticamente su moduli di base o in più passaggi potrebbero non funzionare più correttamente.