คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info
กำหนดค่านโยบายรักษาความปลอดภัยเนื้อหา (CSP) สำหรับทุกหน้าในพอร์ทัลเพื่อป้องกันการโจมตีด้วยสคริปต์ข้ามเว็บไซต์ (XSS) และการโจมตีด้วยการแทรกโค้ดอื่นๆ CSP จะกำหนดแหล่งที่มาที่เชื่อถือได้สำหรับเนื้อหา เช่น สคริปต์ สไตล์ และรูปภาพ หลังจากกำหนดค่านโยบายแล้ว เบราว์เซอร์จะบล็อกเนื้อหาที่โหลดจากแหล่งที่มาที่ไม่เชื่อถือ
ระบบจะเพิ่ม CSP เป็นส่วนหัวการตอบกลับ HTTP Content-Security-Policy ให้กับทุกหน้าในพอร์ทัล ดังนี้
Content-Security-Policy: policy
คุณกำหนดนโยบายโดยใช้คำสั่งตามที่ระบุไว้ในคำสั่งนโยบายรักษาความปลอดภัยเนื้อหาในเว็บไซต์ W3C
หากคุณเปิดใช้ส่วนหัว CSP ระบบจะกำหนดคําสั่ง CSP ต่อไปนี้โดยค่าเริ่มต้น
default-src 'unsafe-eval' 'unsafe-inline' * data:
คำสั่ง default-src จะกำหนดค่านโยบายเริ่มต้นสำหรับประเภททรัพยากรที่ไม่มีคำสั่งที่กําหนดค่าไว้
ตารางต่อไปนี้อธิบายนโยบายที่กําหนดไว้เป็นส่วนหนึ่งของคําสั่งเริ่มต้น
| นโยบาย | การเข้าถึง |
|---|---|
'unsafe-inline' |
ทรัพยากรในบรรทัด เช่น องค์ประกอบ <script> ในบรรทัด, URL ของ javascript:, แฮนเดิลเหตุการณ์ในบรรทัด และองค์ประกอบ <style> ในบรรทัด หมายเหตุ: คุณต้องใส่นโยบายไว้ในเครื่องหมายคำพูดเดี่ยว |
'unsafe-eval' |
การประเมินโค้ดแบบไดนามิกที่ไม่ปลอดภัย เช่น JavaScript eval() และเมธอดที่คล้ายกันซึ่งใช้สร้างโค้ดจากสตริง หมายเหตุ: คุณต้องใส่นโยบายไว้ในเครื่องหมายคำพูดเดี่ยว |
* (wildcard) |
URL ใดก็ได้ยกเว้นรูปแบบ data:, blob: และ filesystem: |
data: |
ทรัพยากรที่โหลดผ่านรูปแบบข้อมูล (เช่น รูปภาพที่เข้ารหัส Base64) |
ต่อไปนี้เป็นตัวอย่างการกำหนดค่า CSP เพื่อจำกัดประเภททรัพยากรที่เฉพาะเจาะจง
| นโยบาย | การเข้าถึง |
|---|---|
default-src 'none' |
ไม่มีสิทธิ์เข้าถึงสำหรับประเภททรัพยากรที่ไม่มีคำสั่งที่กําหนดค่าไว้ |
img-src * |
URL ของรูปภาพจากแหล่งที่มาใดก็ได้ |
media-src https://example.com/ |
URL ของวิดีโอหรือเสียงผ่าน HTTPS จากโดเมน example.com |
script-src *.example.com |
การดำเนินการสคริปต์ใดๆ จากโดเมนย่อยของ example.com |
style-src 'self' css.example.com |
การใช้สไตล์ใดก็ได้จากต้นทางของเว็บไซต์หรือโดเมน css.example.com |
วิธีกำหนดค่านโยบายความปลอดภัยของเนื้อหา
- เลือกเผยแพร่ > พอร์ทัล แล้วเลือกพอร์ทัล
- เลือกการตั้งค่าในเมนูแบบเลื่อนลงในแถบนำทางด้านบน
- หรือคลิกการตั้งค่าในหน้า Landing Page ของพอร์ทัล
- คลิกที่แท็บการรักษาความปลอดภัย
- คลิกเปิดใช้นโยบายความปลอดภัยของเนื้อหา
- กำหนดค่า CSP หรือใช้ค่าเริ่มต้น
- คลิกบันทึก
คุณสามารถคืนค่านโยบาย CSP เริ่มต้นได้ทุกเมื่อโดยคลิกคืนค่าเริ่มต้น