コンテンツ セキュリティ ポリシーの管理
注意
2022 年 10 月 12 日より、Power Apps ポータルは Power Pages となります。 詳細: Microsoft Power Pages の一般提供が開始されました (ブログ)
Power Apps ポータルのドキュメントは、近日中に Power Pages ドキュメントに移行、統合されます。
コンテンツ セキュリティ ポリシー (CSP) は、データの盗難、サイトの改ざん、マルウェアの配布など、ある種の Web 攻撃を検知して軽減するのに役立つ追加のセキュリティ レイヤーです。 CSP は、サイト ページに読み込むことができるリソースを制御するのに役立つ、広範なポリシー ディレクティブのセットを提供します。 各ディレクティブは、特定のタイプのリソースに対する制限を定義します。
ポータル Web サイトの CSP を有効にすると、接続、スクリプト、フォント、および未知または悪意のあるソースから発生したその他の種類のリソースをブロックすることによって、セキュリティを強化できます。 ポータルでは、CSP はデフォルトでオフになっていまが、多くの Web サイトでは、他のセキュリティを強化するために CSP が必要な場合があります。
CSP の詳細については、コンテンツ セキュリティ ポリシーの参照情報 を参照してください。
CSP の構成
Power Apps にサインインします。
ポータルが存在する適切な環境にいることを確認してください。
左ペインで アプリ を選択して、ポータル管理 アプリ を探します。
左側ペインのサイトで、サイト設定を選択します。
HTTP/Content-Security-Policy サイト設定を作成または更新し、CSP リファレンス ページに記載されている必要な値をセミコロンで区切って設定します。
例
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
Nonce を有効にする
nonce (1 回だけ使用する番号) を有効にすると、インライン スクリプト内で特定されたものを除き、すべてのインライン スクリプトの実行がブロックされます。 一意の暗号 Nonce が生成され、CSP ヘッダーで特定された各スクリプトに追加されます。 ポータルでは、Nonce はインライン スクリプトとインライン イベント ハンドラーのみをサポートします。 Nonce の詳細については、CSP で Nonce を使用する を参照してください。
ポータルで Nonce を有効にするには、script-src 'nonce'; 値を HTTP/Content-Security-Policy サイト設定に追加します。
例
厳格なポリシーが必要で、ポータル外のソースからのスクリプトの読み込みを許可しない場合、以下を使用します:
script-src 'self' content.powerapps.com 'nonce'
安全なソースからスクリプトを読み込む場合、以下を使用します:
script-src https: 'nonce'