Compartilhar via

Gerenciar a política de segurança de conteúdo

  • Artigo

Observação

Desde o dia 12 de outubro de 2022, os portais do Power Apps passaram a ser Power Pages. Mais Informações: O Microsoft Power Pages já está disponível para todos (blog)
Em breve, migraremos e mesclaremos a documentação dos portais do Power Apps com a documentação do Power Pages.

A política de segurança de conteúdo (CSP) é uma camada extra de segurança que ajuda a detectar e mitigar alguns tipos de ataques na Web, como roubo de dados, defacement de sites ou distribuição de malware. A CSP fornece um amplo conjunto de diretivas de política que ajudam a controlar os recursos que uma página do site pode carregar. Cada diretiva define as restrições para um tipo específico de recurso.

Quando a CSP é ativada para um site de portais, ela ajuda a aumentar a segurança bloqueando conexões, scripts, fontes e outros tipos de recursos originados de fontes desconhecidas ou mal-intencionadas. A CSP está desativada por padrão nos portais; no entanto, muitos sites podem exigi-la para aprimorar a segurança.

Para obter mais informações sobre a CSP, acesse Referência da Política de Segurança de Conteúdo.

Configurar a CSP

  1. Entre no Power Apps.

  2. Verifique se você está no ambiente no qual seu portal existe.

  3. No painel esquerdo, selecione Aplicativos e selecione o aplicativo Gerenciamento do Portal.

    A opção de menu Aplicativos do Power Apps com o aplicativo Gerenciamento do Portal selecionado.

  4. No painel esquerdo, selecione Configurações do Site.

  5. Crie (ou atualize) a configuração do site HTTP/Content-Security-Policy e defina os valores necessários na página Referência da CSP separados por ponto-e-vírgula.

    Exemplo

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    A opção de menu Configurações do Site do Power Apps .

Habilitar o nonce

A habilitação do nonce (número usado uma vez) bloqueará a execução de todos os scripts em linha, exceto aqueles especificados no script em linha. Um nonce criptográfico exclusivo é gerado e adicionado a cada script especificado no cabeçalho da CSP. Em portais, o nonce só oferece suporte a scripts em linha e manipuladores de eventos em linha. Para obter mais informações sobre o nonce, acesse Usar um nonce com a CSP.

Para habilitar o nonce em portais, adicione o valor script-src 'nonce'; às configurações do site HTTP/Content-Security-Policy.

Exemplos

Se você quiser uma política rigorosa e não quiser permitir o carregamento de scripts de fontes fora dos portais, use o seguinte:

script-src 'self' content.powerapps.com 'nonce'

Se você quiser carregar scripts de qualquer fonte segura, use o seguinte:

script-src https: 'nonce'

Observação

  • Quando o nonce estiver habilitado, unsafe-eval será injetado automaticamente para oferecer suporte à avaliação automática de código inseguro. Para desabilitar a injeção automática de unsafe-eval, atualize a configuração do site HTTP/Content-Security-Policy/Inject-unsafe-eval como falso.
  • Se a injeção unsafe-eval estiver desabilitada, a validação de campo gerada automaticamente em formulários básicos ou avançados pode não funcionar mais de forma correta.