Configurer une règle de sécurité du contenu

Vous consultez la documentation Apigee Edge.
Consulter la documentation d'Apigee X
en savoir plus

Configurez une règle de sécurité du contenu (CSP) pour toutes les pages de votre portail afin de vous protéger contre les attaques par script intersites (XSS) et autres attaques d'injection de code. La CSP du contenu définit des sources fiables pour le contenu tel que des scripts, des styles et des images. Après avoir configuré une règle, le contenu chargé à partir de sources non approuvées est bloqué par votre navigateur.

La CSP est ajoutée en tant qu'en-tête de réponse HTTP Content-Security-Policy à toutes les pages de votre portail, comme suit:

Content-Security-Policy: policy

Vous définissez la règle à l'aide de directives, comme défini dans la section sur les directives liées à la règle de sécurité du contenu sur le site W3C.

Si vous activez l'en-tête CSP, la directive CSP suivante est définie par défaut:

default-src 'unsafe-eval' 'unsafe-inline' * data:

La directive default-src configure la règle par défaut pour les types de ressources qui n'ont pas de directive configurée.

Le tableau suivant décrit les règles définies dans le cadre de la directive par défaut.

Règle Accès
'unsafe-inline' Ressources intégrées, telles que les éléments <script> intégrés, les URL javascript:, les gestionnaires d'événements intégrés et les éléments <style> intégrés. Remarque: Vous devez placer la règle entre guillemets simples.
'unsafe-eval' Évaluation du code dynamique non sécurisé, telle que JavaScript eval() et les méthodes similaires utilisées pour créer du code à partir de chaînes. Remarque: Vous devez placer la règle entre guillemets simples.
* (wildcard) Toutes les URL, à l'exception des schémas data:, blob: et filesystem:.
data: Ressources chargées via le schéma de données (par exemple, des images encodées en base64).

Vous trouverez ci-dessous des exemples de configuration de la CSP pour restreindre des types de ressources spécifiques.

Règle Accès
default-src 'none' Aucun accès aux types de ressources ne disposant pas d'une directive configurée.
img-src * URL de l'image depuis n'importe quelle source.
media-src https://example.com/ URL vidéo ou audio via HTTPS du domaine example.com.
script-src *.example.com Exécution de tout script provenant d'un sous-domaine de example.com.
style-src 'self' css.example.com Application de n'importe quel style provenant de l'origine du site ou du domaine css.example.com.

Pour configurer une stratégie de sécurité du contenu, procédez comme suit:

  1. Sélectionnez Publier > Portails et sélectionnez votre portail.
  2. Sélectionnez Paramètres dans le menu déroulant de la barre de navigation supérieure.
  3. Vous pouvez également cliquer sur Paramètres sur la page de destination du portail.
  4. Cliquez sur l'onglet Security (Sécurité).
  5. Cliquez sur Activer la stratégie de sécurité du contenu.
  6. Configurez la CSP ou conservez la valeur par défaut.
  7. Cliquez sur Enregistrer.

Vous pouvez restaurer la règle CSP par défaut à tout moment en cliquant sur Restaurer la valeur par défaut.