إعداد سياسة أمان محتوى

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X.
معلومات

يمكنك ضبط سياسة أمان المحتوى (CSP) لجميع الصفحات في البوابة للحماية من هجمات البرمجة النصية على مستوى المواقع الإلكترونية (XSS) وغيرها من هجمات إدخال الرموز. يحدّد سياسة أمان المحتوى المصادر الموثوقة للمحتوى، مثل النصوص البرمجية والأنماط والصور. بعد ضبط السياسة، سيحظر المتصفِّح المحتوى الذي يتم تحميله من مصادر غير موثوق بها.

تتم إضافة سياسة أمان المحتوى (CSP) على أنّها عنوان استجابة HTTP Content-Security-Policy إلى جميع الصفحات في البوابة، على النحو التالي:

Content-Security-Policy: policy

يمكنك تحديد السياسة باستخدام التوجيهات على النحو المحدّد في توجيهات سياسة أمان المحتوى على موقع W3C الإلكتروني.

في حال تفعيل عنوان CSP، يتم تلقائيًا تحديد توجيه CSP التالي:

default-src 'unsafe-eval' 'unsafe-inline' * data:

يضبط التوجيه default-src السياسة التلقائية لأنواع الموارد التي لم يتم ضبط توجيه لها.

ويوضّح الجدول التالي السياسات المحدَّدة كجزء من التوجيه التلقائي.

السياسات إذن الوصول
'unsafe-inline' الموارد المضمّنة، مثل عناصر <script> المضمّنة وعناوين URL javascript: ومعالجات الأحداث المضمّنة وعناصر <style> المضمَّنة ملاحظة: يجب تضمين السياسة بين علامات اقتباس مفردة.
'unsafe-eval' تقييم الرمز الديناميكي غير آمن، مثل eval() JavaScript والطرق المشابهة المستخدمة لإنشاء رمز من السلاسل ملاحظة: يجب تضمين السياسة بين علامات اقتباس مفردة.
* (wildcard) أي عناوين URL باستثناء مخططات data: وblob: وfilesystem:
data: الموارد التي يتم تحميلها من خلال مخطط البيانات (مثل الصور التي تم ترميزها باستخدام Base64).

في ما يلي أمثلة على ضبط سياسة أمان المحتوى (CSP) لتقييد أنواع موارد معيّنة.

السياسات إذن الوصول
default-src 'none' لا يمكن الوصول إلى أنواع الموارد التي لم يتم ضبط توجيه لها.
img-src * عنوان URL للصورة من أي مصدر
media-src https://example.com/ عنوان URL لفيديو أو صوتي عبر HTTPS من نطاق example.com.
script-src *.example.com تنفيذ أي نص برمجي من نطاق فرعي لـ example.com
style-src 'self' css.example.com تطبيق أي نمط من أصل الموقع الإلكتروني أو نطاق css.example.com

لضبط سياسة أمان المحتوى:

  1. اختَر نشر > البوابات ثم اختَر المنصة.
  2. اختَر الإعدادات في القائمة المنسدلة في شريط التنقل العلوي.
  3. يمكنك بدلاً من ذلك النقر على الإعدادات في الصفحة المقصودة للبوابة.
  4. انقر على علامة التبويب الحماية.
  5. انقر على تفعيل سياسة أمان المحتوى.
  6. اضبط سياسة أمان المحتوى (CSP) أو اترك الخيار التلقائي.
  7. انقر على حفظ.

يمكنك استعادة سياسة CSP التلقائية في أي وقت من خلال النقر على استعادة الإعدادات التلقائية.