Gestire i criteri di sicurezza del contenuto

  • Articolo

Nota

A partire dal 12 ottobre 2022, i portali Power Apps sono denominati Power Pages. Altre informazioni: Microsoft Power Pages è ora generalmente disponibile (blog)
A breve verrà eseguita la migrazione e l'unione della documentazione dei portali Power Apps con la documentazione di Power Pages.

I criteri di sicurezza del contenuto (CSP) sono un ulteriore livello di sicurezza che aiuta a rilevare e mitigare alcuni tipi di attacchi Web come il furto di dati, la distruzione del sito o la distribuzione di malware. I CSP forniscono un'ampia serie di direttive dei criteri che consentono di controllare le risorse che una pagina del sito può caricare. Ciascuna direttiva definisce le restrizioni per un tipo specifico di risorsa.

Quando i CSP sono attivati per un sito Web di portali, aiutano a migliorare la sicurezza bloccando connessioni, script, caratteri e altri tipi di risorse che provengono da fonti sconosciute o dannose. I CSP sono disattivati per impostazione predefinita nei portali; tuttavia, molti siti Web potrebbero richiedere i CSP per migliorare la sicurezza.

Per altre informazioni sui CSP, vai a Riferimento dei criteri di sicurezza del contenuto.

Configura CSP

  1. Accedi a Power Apps.

  2. Assicurati di essere nell'ambiente in cui si trova il portale.

  3. Nel riquadro sinistro, seleziona App, quindi seleziona l'app Gestione del portale.

    L'opzione del menu App per Power Apps con l'app Gestione portali selezionata

  4. Nel riquadro a sinistra, seleziona Impostazioni sito.

  5. Crea (o aggiorna) l'impostazione del sito HTTP/Criteri di sicurezza dei contenuti e imposta i valori necessari nella pagina Riferimento CSP separati da punto e virgola.

    Esempio

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    L'opzione di menu Impostazioni del sito per Power Apps .

Abilitare nonce

L'abilitazione di nonce (numero utilizzato una volta) bloccherà l'esecuzione di tutti gli script inline ad eccezione di quelli specificati all'interno dello script inline. Un nonce crittografico univoco viene generato e aggiunto a ogni script specificato nell'intestazione dei CSP. Nei portali, nonce supporta solo script inline e gestori di eventi inline. Per ulteriori informazioni su nonce, vai a Utilizzo di un nonce con i CSP.

Per abilitare nonce nei portali, aggiungi il valore script-src 'nonce'; all'impostazione del sito HTTP/Criteri di sicurezza dei contenuti.

Esempi

Se vuoi criteri rigorosi e non desideri consentire il caricamento degli script da origini esterne ai portali. utilizza le operazioni seguenti:

script-src 'self' content.powerapps.com 'nonce'

Se vuoi caricare script da qualsiasi origine sicura, utilizza le operazioni seguenti:

script-src https: 'nonce'

Nota

  • Quando nonce è abilitato, unsafe-eval verrà inserito automaticamente per supportare la valutazione automatica di codice non protetto. Per disabilitare l'inserimento automatico di unsafe-eval, aggiorna l'impostazione del sito HTTP/Content-Security-Policy/Inject-unsafe-eval su falso.
  • Se l'inserimento di unsafe-eval è disabilitato, la convalida dei campi generati automaticamente nei moduli di base o avanzato potrebbe non funzionare più correttamente.