Trang này được dịch bởi Cloud Translation API.

Định cấu hình chính sách bảo mật nội dung

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Định cấu hình chính sách bảo mật nội dung (CSP) cho tất cả các trang trong cổng thông tin của bạn để bảo vệ khỏi các cuộc tấn công tập lệnh trên nhiều trang web (XSS) và các cuộc tấn công chèn mã khác. CSP xác định các nguồn đáng tin cậy cho nội dung như tập lệnh, kiểu và hình ảnh. Sau khi bạn định cấu hình một chính sách, trình duyệt sẽ chặn nội dung được tải từ các nguồn không đáng tin cậy.

CSP được thêm dưới dạng tiêu đề phản hồi HTTP Content-Security-Policy vào tất cả các trang trong cổng thông tin của bạn, như sau:

Content-Security-Policy: policy

Bạn xác định chính sách bằng các lệnh, như được xác định trong Lệnh của Chính sách bảo mật nội dung trên trang web của W3C.

Nếu bạn bật tiêu đề CSP, theo mặc định, lệnh CSP sau đây sẽ được xác định:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Lệnh default-src định cấu hình chính sách mặc định cho các loại tài nguyên không có lệnh được định cấu hình.

Bảng sau đây mô tả các chính sách được xác định là một phần của lệnh mặc định.

Chính sách	Quyền truy cập
`'unsafe-inline'`	Tài nguyên cùng dòng, chẳng hạn như phần tử `<script>` cùng dòng, URL `javascript:`, trình xử lý sự kiện cùng dòng và phần tử `<style>` cùng dòng. Lưu ý: Bạn phải đặt chính sách trong dấu ngoặc đơn.
`'unsafe-eval'`	Đánh giá mã động không an toàn, chẳng hạn như JavaScript `eval()` và các phương thức tương tự dùng để tạo mã từ chuỗi. Lưu ý: Bạn phải đặt chính sách trong dấu ngoặc đơn.
`* (wildcard)`	Mọi URL ngoại trừ các giao thức `data:`, `blob:` và `filesystem:`.
`data:`	Tài nguyên được tải qua lược đồ dữ liệu (ví dụ: hình ảnh được mã hoá Base64).

Sau đây là ví dụ về cách định cấu hình CSP để hạn chế các loại tài nguyên cụ thể.

Chính sách	Quyền truy cập
`default-src 'none'`	Không có quyền truy cập đối với các loại tài nguyên không có lệnh được định cấu hình.
`img-src *`	URL của hình ảnh từ bất kỳ nguồn nào.
`media-src https://example.com/`	URL video hoặc âm thanh qua HTTPS từ miền `example.com`.
`script-src *.example.com`	Thực thi bất kỳ tập lệnh nào từ một miền con của `example.com`.
`style-src 'self' css.example.com`	Áp dụng bất kỳ kiểu nào từ nguồn gốc của trang web hoặc miền `css.example.com`.

Cách định cấu hình chính sách bảo mật nội dung:

Chọn Xuất bản > Cổng thông tin rồi chọn cổng thông tin của bạn.
Chọn Cài đặt trong trình đơn thả xuống ở thanh điều hướng trên cùng.
Ngoài ra, bạn có thể nhấp vào Cài đặt trên trang đích của cổng thông tin.
Nhấp vào thẻ Bảo mật.
Nhấp vào Bật chính sách bảo mật nội dung.
Định cấu hình CSP hoặc để mặc định.
Nhấp vào Lưu.

Bạn có thể khôi phục chính sách CSP mặc định bất cứ lúc nào bằng cách nhấp vào Khôi phục mặc định.