أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى
مستندات Apigee X. info
يمكنك ضبط سياسة أمان المحتوى (CSP) لجميع الصفحات في البوابة الإلكترونية للحماية من الهجمات التي تستخدم النصوص البرمجية على المواقع الإلكترونية (XSS) وغيرها من هجمات حقن الرموز البرمجية. يحدِّد بروتوكول CSP المصادر الموثوق بها للمحتوى، مثل النصوص البرمجية والأنماط والصور. بعد ضبط سياسة، سيحظر المتصفّح المحتوى الذي يتم تحميله من مصادر غير موثوق بها.
تتم إضافة سياسة CSP كعنوان استجابة Content-Security-Policy HTTP إلى جميع الصفحات في البوابة، على النحو التالي:
Content-Security-Policy: policy
يمكنك تحديد السياسة باستخدام التوجيهات، كما هو محدّد في توجيهات سياسة أمان المحتوى في موقع W3C الإلكتروني.
في حال تفعيل عنوان CSP، يتم تلقائيًا تحديد توجيه CSP التالي:
default-src 'unsafe-eval' 'unsafe-inline' * data:
يضبط الأمر default-src السياسة التلقائية لأنواع الموارد التي لا تتضمّن توجيهًا تم ضبطه.
يوضّح الجدول التالي السياسات المحدّدة كجزء من التوجيه التلقائي.
| السياسة | إذن الوصول |
|---|---|
'unsafe-inline' |
الموارد المضمّنة، مثل عناصر <script> المضمّنة وعناوين URL الخاصة بـ javascript: ومعالجات الأحداث المضمّنة وعناصر <style> المضمّنة ملاحظة: يجب وضع السياسة بين علامتَي اقتباس مفردتَين. |
'unsafe-eval' |
تقييم الرمز الديناميكي غير الآمن، مثل eval() JavaScript والأساليب المشابهة المستخدَمة لإنشاء رمز من سلاسل. ملاحظة: يجب وضع السياسة بين علامتَي اقتباس مفردتَين. |
* (wildcard) |
أي عنوان URL باستثناء المخططات data: وblob: وfilesystem: |
data: |
الموارد التي يتم تحميلها من خلال مخطّط البيانات (مثل الصور المشفّرة بترميز Base64) |
في ما يلي أمثلة على ضبط خدمة إدارة الخدمات (CSP) لحظر أنواع موارد معيّنة.
| السياسة | إذن الوصول |
|---|---|
default-src 'none' |
لا يمكن الوصول إلى أنواع الموارد التي لا تتضمّن توجيهًا تم ضبطه. |
img-src * |
عنوان URL للصورة من أي مصدر |
media-src https://example.com/ |
عنوان URL للفيديو أو الصوت عبر HTTPS من نطاق example.com |
script-src *.example.com |
تنفيذ أي نص برمجي من نطاق فرعي من example.com |
style-src 'self' css.example.com |
تطبيق أي نمط من مصدر الموقع الإلكتروني أو نطاق css.example.com |
لضبط سياسة أمان المحتوى:
- اختَر النشر > البوابات واختَر البوابة.
- انقر على الإعدادات في القائمة المنسدلة في شريط التنقّل العلوي.
- بدلاً من ذلك، انقر على الإعدادات في الصفحة المقصودة للبوابة.
- انقر على علامة التبويب الحماية.
- انقر على تفعيل سياسة أمان المحتوى.
- يمكنك ضبط خدمة إدارة المحتوى (CSP) أو ترك الإعدادات التلقائية.
- انقر على حفظ.
يمكنك استعادة سياسة CSP التلقائية في أي وقت من خلال النقر على استعادة الإعدادات التلقائية.