Mengonfigurasi kebijakan keamanan konten

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Konfigurasi kebijakan keamanan konten (CSP) untuk semua halaman di portal Anda untuk melindungi dari pembuatan skrip lintas situs (XSS) dan serangan injeksi kode lainnya. CSP menentukan sumber tepercaya untuk konten seperti skrip, gaya, dan gambar. Setelah mengonfigurasi kebijakan, konten yang dimuat dari sumber tidak tepercaya akan diblokir oleh browser Anda.

CSP ditambahkan sebagai header respons HTTP Content-Security-Policy ke semua halaman di portal Anda, sebagai berikut:

Content-Security-Policy: policy

Anda dapat menetapkan kebijakan menggunakan perintah, seperti yang ditetapkan dalam Pedoman Kebijakan Keamanan Konten di situs W3C.

Jika Anda mengaktifkan header CSP, perintah CSP berikut akan ditentukan secara default:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Perintah default-src mengonfigurasi kebijakan default untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.

Tabel berikut menjelaskan kebijakan yang didefinisikan sebagai bagian dari perintah default.

Kebijakan Akses
'unsafe-inline' Resource inline, seperti elemen <script> inline, URL javascript:, pengendali peristiwa inline, dan elemen <style> inline. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal.
'unsafe-eval' Evaluasi kode dinamis yang tidak aman seperti eval() JavaScript dan metode serupa yang digunakan untuk membuat kode dari string. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal.
* (wildcard) URL apa pun kecuali skema data:, blob:, dan filesystem:.
data: Resource yang dimuat melalui skema data (misalnya, gambar berenkode Base64).

Berikut ini contoh konfigurasi CSP untuk membatasi jenis resource tertentu.

Kebijakan Akses
default-src 'none' Tidak ada akses untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.
img-src * URL gambar dari sumber apa pun.
media-src https://example.com/ URL video atau audio melalui HTTPS dari domain example.com.
script-src *.example.com Eksekusi skrip apa pun dari subdomain example.com.
style-src 'self' css.example.com Penerapan gaya apa pun dari asal situs atau domain css.example.com.

Untuk mengonfigurasi kebijakan keamanan konten:

  1. Pilih Publikasikan > Portal dan pilih portal Anda.
  2. Pilih Setelan di menu drop-down pada menu navigasi atas.
  3. Atau, klik Setelan di halaman landing portal.
  4. Klik tab Security.
  5. Klik Aktifkan kebijakan keamanan konten.
  6. Konfigurasikan CSP atau biarkan default.
  7. Klik Simpan.

Anda dapat memulihkan kebijakan CSP default kapan saja dengan mengklik Pulihkan default.