Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Skonfiguruj zasady bezpieczeństwa treści (CSP) na wszystkich stronach w portalu, aby chronić się przed atakami typu cross-site scripting (XSS) i innymi atakami polegającymi na wstrzykiwaniu kodu. CSP definiuje zaufane źródła treści, takich jak skrypty, style i obrazy. Gdy skonfigurujesz ten standard, przeglądarka będzie blokować treści wczytywane z niezaufanych źródeł.
Profil CSP jest dodawany jako nagłówek odpowiedzi HTTP Content-Security-Policy do wszystkich stron w portalu w ten sposób:
Content-Security-Policy: policy
Zasady definiujesz za pomocą dyrektyw zgodnie z definicją w dyrektywach dotyczących zasad bezpieczeństwa treści na stronie W3C.
Jeśli włączysz nagłówek CSP, domyślnie zostanie zdefiniowana ta dyrektywa CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
Dyrektywa default-src konfiguruje domyślną zasadę dla typów zasobów, które nie mają skonfigurowanej dyrektywy.
Tabela poniżej opisuje zasady zdefiniowane w ramach domyślnej dyrektywy.
| Zasady | Dostęp |
|---|---|
'unsafe-inline' |
Zasoby wbudowane, takie jak wbudowane elementy <script>, adresy URL javascript:, wbudowane metody obsługi zdarzeń i wbudowane elementy <style>. Uwaga: zasady musisz umieścić w cudzysłowie. |
'unsafe-eval' |
Niebezpieczna ocena kodu dynamicznego, np. JavaScript eval() i podobne metody używane do tworzenia kodu z ciągów znaków. Uwaga: zasady musisz umieścić w cudzysłowie. |
* (wildcard) |
dowolny adres URL z wyjątkiem schematów data:, blob: i filesystem:; |
data: |
Zasoby wczytywane za pomocą schematu danych (np. obrazy z kodowaniem Base64). |
Poniżej znajdziesz przykłady konfigurowania CSP w celu ograniczenia dostępu do określonych typów zasobów.
| Zasady | Dostęp |
|---|---|
default-src 'none' |
Brak dostępu do typów zasobów, które nie mają skonfigurowanej dyrektywy. |
img-src * |
Adres URL obrazu z dowolnego źródła. |
media-src https://example.com/ |
Adres URL filmu lub dźwięku w protokole HTTPS z domeny example.com. |
script-src *.example.com |
Wykonywanie dowolnego skryptu z subdomeny example.com. |
style-src 'self' css.example.com |
Zastosowanie dowolnego stylu z źródła witryny lub domeny css.example.com. |
Aby skonfigurować standard Content Security Policy:
- Kliknij Opublikuj > Portale, a następnie wybierz swój portal.
- W menu na górnym pasku nawigacyjnym kliknij Ustawienia.
- Możesz też kliknąć Ustawienia na stronie głównej portalu.
- Kliknij kartę Zabezpieczenia.
- Kliknij Włącz standard Content Security Policy.
- Skonfiguruj CSP lub pozostaw domyślne ustawienia.
- Kliknij Zapisz.
Domyślne zasady CSP możesz przywrócić w dowolnym momencie, klikając Przywróć domyślne.