Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info
Siteler arası komut dosyası çalıştırma (XSS) ve diğer kod yerleştirme saldırılarına karşı koruma sağlamak için portalınızdaki tüm sayfalar için bir içerik güvenliği politikası (İGP) yapılandırın. CSP, komut dosyaları, stiller ve resimler gibi içerikler için güvenilir kaynakları tanımlar. Bir politika yapılandırıldıktan sonra, güvenilir olmayan kaynaklardan yüklenen içerikler tarayıcınız tarafından engellenir.
CSP, portalınızdaki tüm sayfalara aşağıdaki gibi bir Content-Security-Policy HTTP yanıt üst bilgisi olarak eklenir:
Content-Security-Policy: policy
Politikayı, W3C sitesindeki İçerik Güvenliği Politikası Yönergeleri'nde tanımlandığı şekilde yönergeleri kullanarak tanımlarsınız.
CSP üstbilgisini etkinleştirirseniz varsayılan olarak aşağıdaki CSP yönergesi tanımlanır:
default-src 'unsafe-eval' 'unsafe-inline' * data:
default-src yönergesi, yapılandırılmış bir yönergesi olmayan kaynak türleri için varsayılan politikayı yapılandırır.
Aşağıdaki tabloda, varsayılan yönerge kapsamında tanımlanan politikalar açıklanmaktadır.
| Politika | Erişim |
|---|---|
'unsafe-inline' |
Satır içi <script> öğeleri, javascript: URL'leri, satır içi etkinlik işleyiciler ve satır içi <style> öğeleri gibi satır içi kaynaklar. Not: Politikayı tek tırnak içine almanız gerekir. |
'unsafe-eval' |
JavaScript eval() ve dizelerden kod oluşturmak için kullanılan benzer yöntemler gibi güvenli olmayan dinamik kod değerlendirmesi. Not: Politikayı tek tırnak içine almanız gerekir. |
* (wildcard) |
data:, blob: ve filesystem: düzenleri dışındaki tüm URL'ler. |
data: |
Veri şeması aracılığıyla yüklenen kaynaklar (ör. Base64 olarak kodlanmış resimler). |
Aşağıda, CSP'nin belirli kaynak türlerini kısıtlamak için yapılandırılmasına ilişkin örnekler verilmiştir.
| Politika | Erişim |
|---|---|
default-src 'none' |
Yapılandırılmış yönergesi olmayan kaynak türlerine erişim yoktur. |
img-src * |
Herhangi bir kaynaktan resim URL'si. |
media-src https://example.com/ |
example.com alanından HTTPS üzerinden video veya ses URL'si. |
script-src *.example.com |
example.com alt alanından herhangi bir komut dosyasının yürütülmesi. |
style-src 'self' css.example.com |
Sitenin kaynağından veya css.example.com alanından herhangi bir stilin uygulanması. |
İçerik güvenliği politikasını yapılandırmak için:
- Yayınla > Portallar'ı ve portalınızı seçin.
- Üst gezinme çubuğundaki açılır menüden Ayarlar'ı seçin.
- Alternatif olarak, portal açılış sayfasında Ayarlar'ı tıklayabilirsiniz.
- Güvenlik sekmesini tıklayın.
- İçerik güvenliği politikasını etkinleştir'i tıklayın.
- CSP'yi yapılandırın veya varsayılan ayarı bırakın.
- Kaydet'i tıklayın.
Varsayılan ayara geri yükle'yi tıklayarak varsayılan CSP politikasını istediğiniz zaman geri yükleyebilirsiniz.