אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info
מגדירים מדיניות אבטחת תוכן (CSP) לכל הדפים בפורטל כדי להגן מפני מתקפות XSS (פריצה דרך סקריפטים באתרים שונים) ומתקפות אחרות של הזרקת קוד. ה-CSP מגדיר מקורות מהימנים לתוכן כמו סקריפטים, סגנונות ותמונות. אחרי הגדרת מדיניות, תוכן שנטען ממקורות לא מהימנים ייחסם על ידי הדפדפן.
ה-CSP מתווסף ככותרת תגובה של HTTP Content-Security-Policy לכל הדפים בפורטל, באופן הבא:
Content-Security-Policy: policy
מגדירים את המדיניות באמצעות הנחיות, כפי שמוגדר בהוראות של מדיניות אבטחת תוכן באתר של W3C.
אם מפעילים את כותרת ה-CSP, כברירת מחדל מוגדרת הוראת ה-CSP הבאה:
default-src 'unsafe-eval' 'unsafe-inline' * data:
ההנחיה default-src מגדירה את מדיניות ברירת המחדל לסוגי משאבים שאין להם הוראה מוגדרת.
בטבלה הבאה מתוארות כללי המדיניות שמוגדרים כחלק מההוראה שמוגדרת כברירת מחדל.
| מדיניות | גישה |
|---|---|
'unsafe-inline' |
משאבים בתוך שורה, כמו רכיבי <script> בתוך שורה, כתובות URL מסוג javascript:, רכיבי <style> בתוך שורה ומטפלי אירועים בתוך שורה. הערה: חובה להקיף את המדיניות במירכאות בודדות. |
'unsafe-eval' |
הערכה לא בטוחה של קוד דינמי, כמו JavaScript eval() ושיטות דומות המשמשות ליצירת קוד מחרוזות. הערה: חובה להקיף את המדיניות במירכאות בודדות. |
* (wildcard) |
כל כתובת URL, מלבד סכמות data:, blob: ו-filesystem:. |
data: |
משאבים שנטענים דרך סכמת הנתונים (לדוגמה, תמונות בקידוד Base64). |
בהמשך מפורטות דוגמאות להגדרת CSP כדי להגביל סוגי משאבים ספציפיים.
| מדיניות | גישה |
|---|---|
default-src 'none' |
אין גישה לסוגי משאבים שאין להם הוראה מוגדרת. |
img-src * |
כתובת ה-URL של התמונה מכל מקור. |
media-src https://example.com/ |
כתובת URL של וידאו או אודיו ב-HTTPS מהדומיין example.com. |
script-src *.example.com |
הפעלה של סקריפט כלשהו מתת-דומיין של example.com. |
style-src 'self' css.example.com |
החלת סגנון כלשהו מהמקור של האתר או מהדומיין css.example.com. |
כדי להגדיר מדיניות אבטחת תוכן:
- בוחרים באפשרות פרסום > פורטלים ובוחרים את הפורטל.
- בתפריט הנפתח בסרגל הניווט העליון, בוחרים באפשרות הגדרות.
- לחלופין, לוחצים על הגדרות בדף הנחיתה של הפורטל.
- לוחצים על הכרטיסייה אבטחה.
- לוחצים על Enable content security policy.
- מגדירים את ה-CSP או משאירים את ברירת המחדל.
- לוחצים על שמירה.
אפשר לשחזר את מדיניות ברירת המחדל של ה-CSP בכל שלב בלחיצה על Restore default.