הגדרה של מדיניות אבטחת תוכן

כרגע מוצג התיעוד של Apigee Edge.
נכנסים למסמכי התיעוד של Apigee X.
מידע

הגדרה של Content Security Policy (CSP) לכל הדפים בפורטל, לצורך הגנה מפני סקריפטים חוצי-אתרים (XSS) והתקפות אחרות של הזרקת קוד. ב-CSP מוגדרים מקורות מהימנים לתוכן כמו סקריפטים, סגנונות ותמונות. אחרי הגדרת המדיניות, תוכן שנטען ממקורות לא מהימנים ייחסם על ידי הדפדפן.

ה-CSP מתווספת ככותרת תגובת HTTP של Content-Security-Policy לכל הדפים בפורטל שלכם באופן הבא:

Content-Security-Policy: policy

אתם מגדירים את המדיניות באמצעות הנחיות, כפי שמוגדר בהנחיות Content Security Policy באתר W3C.

אם מפעילים את כותרת ה-CSP, מוגדרת כברירת מחדל ההנחיה הבאה של CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

ההנחיה default-src מגדירה את מדיניות ברירת המחדל לסוגי משאבים שאין להם הנחיה מוגדרת.

בטבלה הבאה מתוארים כללי המדיניות שמוגדרים כחלק מהוראת ברירת המחדל.

מדיניות גישה
'unsafe-inline' משאבים בתוך השורה, כמו רכיבי <script> מוטבעים, javascript: כתובות URL, רכיבי handler מוטבעים של אירועים ורכיבי <style> מוטבעים. הערה: חובה לתחום את המדיניות במירכאות יחידות.
'unsafe-eval' הערכה של קוד דינמי לא בטוח, כמו JavaScript eval() ושיטות דומות שמשמשות ליצירת קוד ממחרוזות. הערה: חובה לתחום את המדיניות במירכאות יחידות.
* (wildcard) כל כתובת URL מלבד סכימות של data:, blob: ו-filesystem:.
data: משאבים שנטענים באמצעות סכמת הנתונים (לדוגמה, תמונות בקידוד Base64).

בהמשך מפורטות דוגמאות להגדרת ה-CSP להגבלת סוגי משאבים ספציפיים.

מדיניות גישה
default-src 'none' אין גישה לסוגי משאבים שאין להם הנחיה מוגדרת.
img-src * כתובת ה-URL של התמונה מכל מקור.
media-src https://example.com/ כתובת URL של וידאו או אודיו ב-HTTPS מהדומיין example.com.
script-src *.example.com ביצוע של כל סקריפט מתת-דומיין של example.com.
style-src 'self' css.example.com יישום של כל סגנון ממקור האתר או מדומיין css.example.com.

כדי להגדיר מדיניות אבטחת תוכן:

  1. בוחרים באפשרות פרסום > פורטלים ולאחר מכן בוחרים את הפורטל שלכם.
  2. בתפריט הנפתח שבחלק העליון של סרגל הניווט, בוחרים באפשרות הגדרות.
  3. לחלופין, לוחצים על הגדרות בדף הנחיתה של הפורטל.
  4. לוחצים על הכרטיסייה אבטחה.
  5. לוחצים על הפעלה של מדיניות אבטחת תוכן.
  6. יש להגדיר את ה-CSP או להשאיר את ברירת המחדל.
  7. לוחצים על שמירה.

אפשר לשחזר את מדיניות ברירת המחדל של CSP בכל שלב בלחיצה על שחזור ברירת המחדל.