Bạn đang xem tài liệu về Apigee Edge.
Tham khảo tài liệu về Apigee X. thông tin
Định cấu hình chính sách bảo mật nội dung (CSP) cho tất cả các trang trong cổng thông tin của bạn để ngăn chặn các cuộc tấn công chèn mã trên nhiều trang web (XSS) và các cuộc tấn công chèn mã khác. Chính sách bảo mật nội dung (CSP) xác định các nguồn đáng tin cậy cho nội dung như tập lệnh, kiểu và hình ảnh. Sau khi bạn thiết lập chính sách, trình duyệt của bạn sẽ chặn nội dung được tải từ các nguồn không đáng tin cậy.
CSP được thêm dưới dạng tiêu đề phản hồi HTTP Content-Security-Policy
vào tất cả các trang trong cổng thông tin của bạn, như sau:
Content-Security-Policy: policy
Bạn xác định chính sách bằng cách sử dụng lệnh, như được định nghĩa trong Chỉ thị về chính sách bảo mật nội dung trên trang web W3C.
Nếu bạn bật tiêu đề CSP, thì theo mặc định, lệnh CSP sau đây sẽ được xác định:
default-src 'unsafe-eval' 'unsafe-inline' * data:
Lệnh default-src
định cấu hình chính sách mặc định cho các loại tài nguyên không có lệnh được định cấu hình.
Bảng sau đây mô tả các chính sách được xác định là một phần của lệnh mặc định.
Áp dụng chính sách | Quyền truy cập |
---|---|
'unsafe-inline' |
Các tài nguyên cùng dòng, chẳng hạn như phần tử <script> cùng dòng, URL javascript: , trình xử lý sự kiện cùng dòng và phần tử <style> cùng dòng. Lưu ý: Bạn phải đặt chính sách này trong dấu ngoặc đơn. |
'unsafe-eval' |
Việc đánh giá mã động không an toàn như JavaScript eval() và các phương thức tương tự dùng để tạo mã từ chuỗi. Lưu ý: Bạn phải đặt chính sách này trong dấu ngoặc đơn. |
* (wildcard) |
URL bất kỳ ngoại trừ giao thức data: , blob: và filesystem: . |
data: |
Các tài nguyên được tải thông qua lược đồ dữ liệu (ví dụ: hình ảnh mã hoá Base64). |
Sau đây là ví dụ về cách định cấu hình Chính sách bảo mật nội dung (CSP) để hạn chế các loại tài nguyên cụ thể.
Áp dụng chính sách | Quyền truy cập |
---|---|
default-src 'none' |
Không có quyền truy cập đối với các loại tài nguyên không có lệnh được định cấu hình. |
img-src * |
URL của hình ảnh từ bất kỳ nguồn nào. |
media-src https://example.com/ |
URL video hoặc âm thanh qua HTTPS từ miền example.com . |
script-src *.example.com |
Thực thi bất kỳ tập lệnh nào từ miền con của example.com . |
style-src 'self' css.example.com |
Áp dụng bất kỳ kiểu nào từ nguồn gốc của trang web hoặc miền css.example.com . |
Để định cấu hình chính sách bảo mật nội dung:
- Chọn Xuất bản > Cổng và chọn cổng của bạn.
- Chọn Cài đặt trong trình đơn thả xuống trong thanh điều hướng trên cùng.
- Ngoài ra, bạn có thể nhấp vào phần Cài đặt trên trang đích của cổng thông tin.
- Nhấp vào thẻ Security (Bảo mật).
- Nhấp vào Bật chính sách bảo mật nội dung.
- Hãy định cấu hình Chính sách bảo mật nội dung (CSP) hoặc giữ nguyên giá trị mặc định.
- Nhấp vào Lưu.
Bạn có thể khôi phục chính sách CSP mặc định bất cứ lúc nào bằng cách nhấp vào Khôi phục mặc định.