Problemas de segurança (pré-visualização)
[Este tópico é documentação de pré-lançamento e está sujeito a alterações.]
Neste artigo, irá obter informações sobre os resultados do diagnóstico do Verificador de Sites para problemas de segurança.
Importante
- Esta é uma caraterística de pré-visualização.
- As caraterísticas de pré-visualização não se destinam à produção e poderão ter caraterísticas restritas. Estas caraterísticas estão disponíveis antes do lançamento oficial, para que os clientes possam ter acesso antecipadamente e enviar comentários.
Web Application Firewall ativada
Ativar a Web Application Firewall para proteger o site. Mais informações: Configurar a Web Application Firewall para o Power Pages (pré-visualização)
Acesso anónimo a tabelas do Dataverse
Esta verificação falha se houver uma ou mais permissões de tabela que permitem que os utilizadores anónimos acedam aos dados do Dataverse. Reveja as permissões da tabela e remova o acesso de utilizador anónimo, a menos que o seu caso de utilização exija acesso anónimo. Mais informações: Configurar permissões de tabela
Validação de modelos Web
A validação de modelos Web, que está ativada por predefinição, impede a execução de scripts maliciosos no site. Esta verificação falha quando a validação de modelos Web está desativada. Pode ativar a Validação de Modelos Web removendo a definição “DisableValidationWebTemplate” ou definindo o valor como false. Mais informações: Configurar definições de site para sites
Cabeçalhos de HTTP
As seguintes definições de site são utilizadas para configurar CORS e os respetivos valores recomendados. Reveja e altere os cabeçalhos para valores recomendados, a menos que o seu caso de utilização dite o contrário.
| Verificação de segurança | Definição do local | Valor recomendado |
|---|---|---|
| Restrição de Access-Control-Allow-Origin | HTTP/Access-Control-Allow-Origin | False ou remover a definição |
| Restrição de Access-Control-Allow-Credentials | HTTP/Access-Control-Allow-Credentials | False ou remover a definição |
| Política de Segurança de Conteúdo | HTTP/Content-Security-Policy | script-src https: 'nonce' |
| Configuração de X-Frame-Options | HTTP/X-Frame-Options | SAMEORIGIN ou DENY |
| Configuração de HTTP/X-Content-Type-Options | HTTP/X-Content-Type-Options | nosniff |