Mengonfigurasi kebijakan keamanan konten

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Konfigurasikan kebijakan keamanan konten (CSP) untuk semua halaman di portal Anda guna melindungi dari serangan pembuatan skrip lintas situs (XSS) dan serangan injeksi kode lainnya. CSP menentukan sumber tepercaya untuk konten seperti skrip, gaya, dan gambar. Setelah mengonfigurasi kebijakan, konten yang dimuat dari sumber yang tidak tepercaya akan diblokir oleh browser Anda.

CSP ditambahkan sebagai header respons HTTP Content-Security-Policy ke semua halaman di portal Anda, sebagai berikut:

Content-Security-Policy: policy

Anda menentukan kebijakan menggunakan perintah, seperti yang ditentukan dalam Perintah Kebijakan Keamanan Konten di situs W3C.

Jika Anda mengaktifkan header CSP, perintah CSP berikut akan ditentukan secara default:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Direktif default-src mengonfigurasi kebijakan default untuk jenis resource yang tidak memiliki direktif yang dikonfigurasi.

Tabel berikut menjelaskan kebijakan yang ditentukan sebagai bagian dari perintah default.

Kebijakan Akses
'unsafe-inline' Resource inline, seperti elemen <script> inline, URL javascript:, pengendali peristiwa inline, dan elemen <style> inline. Catatan: Anda harus mengapit kebijakan dalam tanda kutip tunggal.
'unsafe-eval' Evaluasi kode dinamis yang tidak aman seperti eval() JavaScript dan metode serupa yang digunakan untuk membuat kode dari string. Catatan: Anda harus mengapit kebijakan dalam tanda kutip tunggal.
* (wildcard) URL apa pun kecuali skema data:, blob:, dan filesystem:.
data: Resource yang dimuat melalui skema data (misalnya, gambar yang dienkode Base64).

Berikut adalah contoh konfigurasi CSP untuk membatasi jenis resource tertentu.

Kebijakan Akses
default-src 'none' Tidak ada akses untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.
img-src * URL gambar dari sumber mana pun.
media-src https://example.com/ URL video atau audio melalui HTTPS dari domain example.com.
script-src *.example.com Eksekusi skrip apa pun dari subdomain example.com.
style-src 'self' css.example.com Penerapan gaya apa pun dari asal situs atau domain css.example.com.

Untuk mengonfigurasi kebijakan keamanan konten:

  1. Pilih Publikasikan > Portal, lalu pilih portal Anda.
  2. Pilih Setelan di menu drop-down di menu navigasi atas.
  3. Atau, klik Setelan di halaman landing portal.
  4. Klik tab Security.
  5. Klik Enable content security policy.
  6. Konfigurasikan CSP atau biarkan default.
  7. Klik Simpan.

Anda dapat memulihkan kebijakan CSP default kapan saja dengan mengklik Pulihkan default.