כרגע מוצג התיעוד של Apigee Edge.
נכנסים למסמכי התיעוד של
Apigee X. מידע
הגדרה של Content Security Policy (CSP) לכל הדפים בפורטל, לצורך הגנה מפני סקריפטים חוצי-אתרים (XSS) והתקפות אחרות של הזרקת קוד. ב-CSP מוגדרים מקורות מהימנים לתוכן כמו סקריפטים, סגנונות ותמונות. אחרי הגדרת המדיניות, תוכן שנטען ממקורות לא מהימנים ייחסם על ידי הדפדפן.
ה-CSP מתווספת ככותרת תגובת HTTP של Content-Security-Policy לכל הדפים בפורטל שלכם באופן הבא:
Content-Security-Policy: policy
אתם מגדירים את המדיניות באמצעות הנחיות, כפי שמוגדר בהנחיות Content Security Policy באתר W3C.
אם מפעילים את כותרת ה-CSP, מוגדרת כברירת מחדל ההנחיה הבאה של CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
ההנחיה default-src מגדירה את מדיניות ברירת המחדל לסוגי משאבים שאין להם הנחיה מוגדרת.
בטבלה הבאה מתוארים כללי המדיניות שמוגדרים כחלק מהוראת ברירת המחדל.
| מדיניות | גישה |
|---|---|
'unsafe-inline' |
משאבים בתוך השורה, כמו רכיבי <script> מוטבעים, javascript: כתובות URL, רכיבי handler מוטבעים של אירועים ורכיבי <style> מוטבעים. הערה: חובה לתחום את המדיניות במירכאות יחידות. |
'unsafe-eval' |
הערכה של קוד דינמי לא בטוח, כמו JavaScript eval() ושיטות דומות שמשמשות ליצירת קוד ממחרוזות. הערה: חובה לתחום את המדיניות במירכאות יחידות. |
* (wildcard) |
כל כתובת URL מלבד סכימות של data:, blob: ו-filesystem:. |
data: |
משאבים שנטענים באמצעות סכמת הנתונים (לדוגמה, תמונות בקידוד Base64). |
בהמשך מפורטות דוגמאות להגדרת ה-CSP להגבלת סוגי משאבים ספציפיים.
| מדיניות | גישה |
|---|---|
default-src 'none' |
אין גישה לסוגי משאבים שאין להם הנחיה מוגדרת. |
img-src * |
כתובת ה-URL של התמונה מכל מקור. |
media-src https://example.com/ |
כתובת URL של וידאו או אודיו ב-HTTPS מהדומיין example.com. |
script-src *.example.com |
ביצוע של כל סקריפט מתת-דומיין של example.com. |
style-src 'self' css.example.com |
יישום של כל סגנון ממקור האתר או מדומיין css.example.com. |
כדי להגדיר מדיניות אבטחת תוכן:
- בוחרים באפשרות פרסום > פורטלים ולאחר מכן בוחרים את הפורטל שלכם.
- בתפריט הנפתח שבחלק העליון של סרגל הניווט, בוחרים באפשרות הגדרות.
- לחלופין, לוחצים על הגדרות בדף הנחיתה של הפורטל.
- לוחצים על הכרטיסייה אבטחה.
- לוחצים על הפעלה של מדיניות אבטחת תוכן.
- יש להגדיר את ה-CSP או להשאיר את ברירת המחדל.
- לוחצים על שמירה.
אפשר לשחזר את מדיניות ברירת המחדל של CSP בכל שלב בלחיצה על שחזור ברירת המחדל.