شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات
یک خط مشی امنیتی محتوا (CSP) را برای همه صفحات در پورتال خود پیکربندی کنید تا در برابر اسکریپت نویسی بین سایتی (XSS) و سایر حملات تزریق کد محافظت شود. CSP منابع قابل اعتماد را برای محتوا مانند اسکریپت ها، سبک ها و تصاویر تعریف می کند. پس از پیکربندی یک خط مشی، محتوای بارگیری شده از منابع نامعتبر توسط مرورگر شما مسدود می شود.
CSP به عنوان یک هدر پاسخ HTTP Content-Security-Policy به تمام صفحات در پورتال شما اضافه می شود، به شرح زیر:
Content-Security-Policy: policy
شما خط مشی را با استفاده از دستورالعمل ها تعریف می کنید، همانطور که در دستورالعمل های خط مشی امنیت محتوا در سایت W3C تعریف شده است.
اگر هدر CSP را فعال کنید، به طور پیش فرض دستور CSP زیر تعریف می شود:
default-src 'unsafe-eval' 'unsafe-inline' * data:
دستورالعمل default-src خط مشی پیش فرض را برای انواع منابعی که دستورالعمل پیکربندی شده ندارند پیکربندی می کند.
جدول زیر سیاست های تعریف شده به عنوان بخشی از دستورالعمل پیش فرض را شرح می دهد.
| سیاست | دسترسی داشته باشید |
|---|---|
'unsafe-inline' | منابع درون خطی، مانند عناصر <script> درون خطی، javascript: URL ها، کنترل کننده های رویداد درون خطی، و عناصر <style> درون خطی. توجه : شما باید خط مشی را در یک نقل قول قرار دهید. |
'unsafe-eval' | ارزیابی کد پویا ناامن مانند eval() جاوا اسکریپت و روش های مشابهی که برای ایجاد کد از رشته ها استفاده می شود. توجه : شما باید خط مشی را در یک نقل قول قرار دهید. |
* (wildcard) | هر URL به جز data: , blob: و filesystem: طرح ها. |
data: | منابع بارگیری شده از طریق طرح داده (به عنوان مثال، تصاویر کدگذاری شده با Base64). |
در زیر نمونه هایی از پیکربندی CSP برای محدود کردن انواع منابع خاص ارائه شده است.
| سیاست | دسترسی داشته باشید |
|---|---|
default-src 'none' | برای انواع منابعی که دستورالعمل پیکربندی شده ندارند، دسترسی وجود ندارد. |
img-src * | URL تصویر از هر منبعی. |
media-src https://example.com/ | URL ویدیو یا صوتی از طریق HTTPS از دامنه example.com . |
script-src *.example.com | اجرای هر اسکریپت از یک زیر دامنه از example.com . |
style-src 'self' css.example.com | استفاده از هر سبکی از مبدا سایت یا دامنه css.example.com . |
برای پیکربندی یک خط مشی امنیت محتوا:
- Publish > Portals را انتخاب کنید و پورتال خود را انتخاب کنید.
- تنظیمات را در منوی کشویی در نوار پیمایش بالا انتخاب کنید.
- از طرف دیگر، روی تنظیمات در صفحه فرود پورتال کلیک کنید.
- روی تب Security کلیک کنید.
- روی فعال کردن خط مشی امنیتی محتوا کلیک کنید.
- CSP را پیکربندی کنید یا پیش فرض را رها کنید.
- روی ذخیره کلیک کنید.
با کلیک بر روی Restore default میتوانید سیاست پیشفرض CSP را در هر زمانی بازیابی کنید.